Frage Wie lässt man den Lastenausgleich über den Port 80 in Sicherheitsgruppen zu?


Ich möchte Port 80 für die Außenwelt vorübergehend sperren, möchte aber, dass der Load Balancer die Firewall (über die Sicherheitsgruppe) durchläuft, damit die Instanz nicht als fehlerhaft erkannt wird. Wie kann ich das machen?

Aktualisieren: Ich möchte auch wissen, wie ich mir erlauben kann, nur über den Port 80 auf den elastischen Lastenausgleich zuzugreifen (aber anderen Zugriff verhindern). Ich weiß, dass der Load Balancer keine spezifischen Sicherheitsgruppen hat, die ich einrichten kann, und sage ihm, dass er nur meine IP-Adresse akzeptieren soll, aber gibt es andere Möglichkeiten, dies zu tun?


18
2017-10-15 22:10


Ursprung




Antworten:


Englisch: www.doc-o-matic.com/webhelp/TdlgEditE.html Was Eric auf den langen Weg macht, um Sie darauf hinzuweisen, aber nicht wirklich, ist, dass Sie die Quelle als autorisieren müssen amazon-elb/amazon-elb-sg. Wenn Sie dies über die AWS Management Console tun, wird sie automatisch abgeschlossen, wenn Sie mit der Eingabe in das Quellfeld beginnen. Ich betreibe mehrere ELB-Konfigurationen und alle erlauben den Zugriff auf 80 / TCP über diese Sicherheitsgruppe und die statischen IP-Adressen meiner Überwachungssysteme.

Um die aktualisierten Anforderungsinformationen zu adressieren, können Sie nicht einschränken, welche IP-Adressen den ELB treffen können. Dies könnte auf der Apache-Server-Seite möglich sein, wenn Sie Regeln schreiben, die auf die Kopfzeilen schauen und Entscheidungen treffen, die Seiten-Ansicht abzulehnen. Meine Art der Zugriffsbeschränkung für Testzwecke besteht darin, meine statische IP der Sicherheitsgruppe hinzuzufügen, die die EC2-Instanz über Port 80 / TCP erreichen darf, und die Instanz einfach aus dem ELB zum Testen herauszunehmen.


17
2017-10-16 03:35



Die Sache, die mich mit dieser Antwort aufwarf, war der Text amazon-elb / amazon-elb-sg formatiert als Code, der impliziert, dass einige magische aws ID waren. In Wirklichkeit musst du nur tippen sg-im Quellfeld und Sie erhalten ein Dropdown für alle verschiedenen Sicherheitsgruppen. - krock


Amazon kündigte im April Unterstützung dafür an:

Sie können jetzt EC2-Instanzen konfigurieren, die sich hinter einem Elastic Load Balancer befinden, um Datenverkehr nur vom Load Balancer mithilfe einer speziellen Sicherheitsgruppe zu empfangen, die dem Elastic Load Balancer zugeordnet ist. Dazu rufen Sie die DescribeLoadBalancers-API auf, um den Namen der SecurityGroup abzurufen, und fügen dann diese Gruppe in die Gruppenliste ein, wenn Sie anschließend einige EC2-Instanzen starten. Der Name der Sicherheitsgruppe kann auch im Detailbereich des Lastenausgleichs in der AWS Management Console abgerufen werden.

http://aws.typepad.com/aws/2011/05/elastic-load-balancing-ipv6-zone-apex-support-additional-security.html


6
2017-10-15 22:33



Es hat nicht die Frage beantwortet, wie ich nur mir erlauben kann, auf den Load Balancer für Port 80 zuzugreifen und nicht direkt auf den EC2 Server zuzugreifen. Für den Load Balancer selbst gibt es keine Sicherheitsgruppe. - Idan Shechter
Wie wäre es mit nur Passwortschutz der Website mit Ausnahme der Gesundheitscheck-URL? - Eric Hammond
Wie kann ich den Namen der Sicherheitsgruppe des Lastenausgleichs über die Benutzeroberfläche der Verwaltungskonsole abrufen? - Idan Shechter


Ich sollte das hinzufügen amazon-elb/amazon-elb-sg ist der Standardname der Load Balancer-Sicherheitsgruppe. Wenn Sie den Namen der Sicherheitsgruppe geändert haben, fügen Sie sie hinzu amazon-elb/amazon-elb-sg wird nicht funktionieren. Eine allgemeinere Antwort besteht darin, die Sicherheitsgruppen-ID oder den Sicherheitsgruppennamen des Lastenausgleichsmoduls der Sicherheitsgruppe aller Instanzen hinzuzufügen, die am Cluster teilnehmen.


1
2018-01-29 14:23





Erstellen Sie eine neue Sicherheitsgruppe für den ELB und erlauben Sie dann nur den Zugriff auf den EC2 von der ELB-Sicherheitsgruppe. Ändern Sie die Sicherheitseinstellungen im VPC-Abschnitt, um dies zu vereinfachen.

Spezifische IP / Bereich -> ELB -> EC2 (Nur ELB-Gruppe) ->

Ich habe mehrere Dev-Env, die privaten Zugriff über ELB haben, aber Healthchecks, die für Server-Moniroting erforderlich sind.


1
2017-11-27 18:38