场景 :
主机A 具备公网IP 作为 SNAT。
主机B 作为客户端通过主机A 访问公网。
主机A使用普通安全组。
主机B使用企业安全组。
主机C和主机A使用同一个安全组。
现象:
主机B ping 公网正常,telnet baidu.com 443 端口不通,而主机C则正常。
原因:
主机A的安全组上没有开放443,所以主机B 无法使用443端口。
由于A、C 处于同一个安全组因此A 、C 两个主机互通不需要再添加安全组规则。
而B使用企业安全组则,则其无法访问A主机443端口,则访问百度TCP 443的请求转发至A主机后被丢弃。
在排查时忽略了企业安全组的问题,导致长时间未能定位到问题。
在这里需要强调企业安全组与普通安全组最关键的差别:
企业安全组 入和出默认都禁止。
同一个企业安全组的主机不能互通,需要单独加安全组规则。