プライベートIPにpingを実行しても、パブリックIPでawsインスタンスにpingできないのはなぜですか？

Question

私は2つのインスタンス（インスタンスAとインスタンスB）は両方とも同じセキュリティグループ（例えばsg-1）の一部です。

セキュリティグループには、次のインバウンドルールセットがあります。

• タイプ：すべてのトラフィック
• プロトコル：すべての
• ポート範囲：すべての
• 出典：SG-1

を

インスタンスBのプライベートIPを使用してインスタンスBからインスタンスBにpingを実行できますが、インスタンスBのパブリックアドレスを使用すると応答はありません。

何が欠けていますか？

編集：
上記のセキュリティ設定のソースを「任意の場所」に変更すると、パブリックIPへのpingが機能します。

Answer 1

インスタンスBのprivateアドレスにpingを実行したときに応答がない場合にのみ、驚かれるはずです。

サブネットのルーティングテーブルは、パブリックアドレスをVPC外にルーティングします。 VPCから出てトラフィックが戻ってくると、送信元アドレスはプライベートIPではなくパブリックIPになります。ルーティングテーブルは、セキュリティグループの前に最初に配置されます。あなたが別のマシンにトラフィックを送信する場合：

• DNS名を使用すると、IPを指定して、あなたの場合はIP
• に解決されたアドレスのいずれかに該当する場合は、そう何のDNS解決が行わ
• を取りません
• プライベートIPを指定すると、内部でルーティングされる可能性が高く、セキュリティグループによってトラフィックが許可され、pingできるようになります。
• パブリックIPを指定すると、最も可能性が高い。サブネットルーティングテーブルを見ることなく、トラフィックがどこに行くかを推測することは困難です。私たちにルーティングテーブルを表示して、正確に何が起きているかを教えてください。 この場合、送信元アドレスはプライベートIPではなくパブリックIPになります。ネットワークを追跡する
• 使用tracerouteまたはlftは、あなたがそのパブリックIPを使用してインスタンスをpingでき