จะอนุญาตให้โหลดบาลานซ์บาลานเซอร์ผ่านพอร์ต 80 ในกลุ่มความปลอดภัยได้อย่างไร?


18

ฉันต้องการบล็อกพอร์ต 80 ชั่วคราวสำหรับโลกภายนอก แต่ต้องการให้โหลดบาลานเซอร์ผ่านไฟร์วอลล์ (ผ่านกลุ่มความปลอดภัย) ดังนั้นมันจะไม่เห็นอินสแตนซ์ที่ไม่แข็งแรง ฉันจะทำสิ่งนั้นได้อย่างไร

อัปเดต: ฉันต้องการทราบว่าฉันจะอนุญาตให้ฉันเท่านั้นที่เข้าถึงตัวโหลดบาลานซ์แบบยืดหยุ่นผ่านพอร์ต 80 (แต่ป้องกันการเข้าถึงอื่น ๆ ) ฉันรู้ว่าตัวโหลดบาลานซ์ไม่มีกลุ่มความปลอดภัยเฉพาะที่ฉันสามารถตั้งค่าและบอกให้ยอมรับเฉพาะที่อยู่ IP ของฉันเท่านั้น แต่มีวิธีอื่นอีกไหมที่จะทำ

คำตอบ:


17

สิ่งที่เอริคยิงทางยาวที่จะชี้ให้คุณต่อ amazon-elb/amazon-elb-sgแต่ไม่จริงรัฐคือการที่คุณต้องให้สิทธิ์เป็นแหล่งที่ หากคุณทำสิ่งนี้ผ่าน AWS Management Console มันจะทำการเติมข้อมูลให้โดยอัตโนมัติเมื่อคุณเริ่มพิมพ์ลงในแหล่งข้อมูล ฉันใช้การกำหนดค่า ELB หลายอย่างและพวกเขาทั้งหมดอนุญาตให้เข้าถึง 80 / TCP ผ่านกลุ่มความปลอดภัยนี้และที่อยู่ IP แบบคงที่ของระบบการตรวจสอบของฉัน

ในการจัดการข้อมูลคำขอที่อัปเดตคุณไม่สามารถ จำกัด ว่าที่อยู่ IP ใดบ้างที่สามารถเข้าถึง ELB ได้ นี่อาจเป็นไปได้ที่ฝั่งเซิร์ฟเวอร์ Apache ถ้าคุณเขียนกฎที่ดูที่ส่วนหัวและตัดสินใจที่จะปฏิเสธการดูหน้าเว็บ วิธีการ จำกัด การเข้าถึงสำหรับการทดสอบของฉันคือการเพิ่ม IP แบบคงที่ของฉันไปยังกลุ่มความปลอดภัยที่อนุญาตให้กด EC2 ผ่านพอร์ต 80 / TCP และถอดอินสแตนซ์ออกจาก ELB เพื่อทำการทดสอบ


4
สิ่งที่ทำให้ฉันพร้อมกับคำตอบนี้คือข้อความที่amazon-elb / amazon-elb-sgจัดรูปแบบเป็นรหัสซึ่งบอกเป็นนัยว่ามีเวทมนตร์ aws id ในความเป็นจริงสิ่งที่คุณต้องทำคือพิมพ์sg-ในช่องแหล่งที่มาและคุณจะได้รับแบบเลื่อนลงสำหรับกลุ่มความปลอดภัยที่แตกต่างกันทั้งหมด
krock

6

Amazon ประกาศการสนับสนุนในเดือนเมษายนนี้:

ตอนนี้คุณสามารถกำหนดค่าอินสแตนซ์ EC2 ที่อยู่ด้านหลัง Elastic Load Balancer เพื่อรับปริมาณข้อมูลจาก Load Balancer เท่านั้นโดยใช้กลุ่มความปลอดภัยพิเศษที่เชื่อมโยงกับ Elastic Load Balancer ในการทำสิ่งนี้คุณต้องเรียก DescribeLoadBalancers API เพื่อรับชื่อของ SecurityGroup และจากนั้นจะรวมกลุ่มในรายการกลุ่มเมื่อคุณเปิดใช้งาน EC2 บางอินสแตนซ์ ชื่อของกลุ่มความปลอดภัยยังสามารถรับได้จากบานหน้าต่างรายละเอียดตัวโหลดบาลานซ์ในคอนโซล AWSManagement

http://aws.typepad.com/aws/2011/05/elastic-load-balancing-ipv6-zone-apex-support-additional-security.html


ไม่ได้ตอบคำถามว่าฉันจะอนุญาตให้ตัวเองเท่านั้นในการเข้าถึง load balancer สำหรับพอร์ต 80 ไม่ใช่ฉันเข้าถึงเซิร์ฟเวอร์ EC2 โดยตรง ไม่มีกลุ่มความปลอดภัยใด ๆ สำหรับ load balancer ที่เป็นของตนเอง
Idan Shechter

วิธีการเกี่ยวกับรหัสผ่านเพียงปกป้องเว็บไซต์ยกเว้น URL ตรวจสุขภาพ?
Eric Hammond

ฉันจะรับชื่อกลุ่มความปลอดภัยของตัวโหลดบาลานซ์ผ่าน UI คอนโซลการจัดการได้อย่างไร
Idan Shechter

1

ฉันควรเพิ่มนั่นamazon-elb/amazon-elb-sgคือชื่อเริ่มต้นของกลุ่มความปลอดภัยโหลดบาลานเซอร์ หากคุณเปลี่ยนชื่อของกลุ่มความปลอดภัยการเพิ่มamazon-elb/amazon-elb-sgจะไม่ทำงาน คำตอบทั่วไปเพิ่มเติมคือการเพิ่ม ID กลุ่มความปลอดภัยหรือชื่อกลุ่มความปลอดภัยของตัวโหลดบาลานซ์ไปยังกลุ่มความปลอดภัยของอินสแตนซ์ทั้งหมดที่เข้าร่วมในคลัสเตอร์


1

สร้างกลุ่มความปลอดภัยใหม่สำหรับ ELB จากนั้นอนุญาตการเข้าถึง EC2 จากกลุ่มความปลอดภัย ELB เท่านั้น เปลี่ยนการตั้งค่าความปลอดภัยในส่วน VPC ให้ง่ายขึ้น

IP / พิสัยเฉพาะ -> ELB -> EC2 (เฉพาะกลุ่ม ELB) ->

ฉันมี dev env หลายตัวที่มีการเข้าถึงแบบส่วนตัวผ่านทาง ELB แต่มีเฮลธ์เช็คที่จำเป็นสำหรับการแยกเซิร์ฟเวอร์

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.