Как сделать группы безопасности между балансировщиком нагрузки и ec2

Question

Я недавно добавил ALB для 2 экземпляров в EC2.

Я хочу, чтобы экземпляры ALB и EC2 были частными, поэтому я добавил группу безопасности для каждой службы.

Что я сделал, так это добавил IP-адреса в HTTPS экземпляров EC2 в ALB sg. наоборот в EC2 sg.

На маршруте 53. Я создал поддомен для ссылки в DNS-имени ALB.

Я попытался сначала протестировать его, используя общедоступную sg, которая отлично работает и может получить доступ к приложению EC2. Но после того, как я попытался установить sg для ALB и EC2. Когда я проверяю его, он не может получить к нему доступ.

Где я ошибся?

Answer 1

Группа безопасности может разрешать трафик из диапазона IP-адресов CIDR или из другой группы безопасности . Таким образом, вы должны настроить следующие Группы безопасности :

• ALB-SG: Разрешить HTTP / S с 0.0.0.0/0 (если вы хотите, чтобы он был открыт для мира). Свяжите это с ALB.
• App-SG: Разрешить HTTP от ALB-SG . Свяжите его с вашими экземплярами EC2 (или с группой автоматического запуска конфигурации запуска).

Группа безопасности приложений ( App-SG ), таким образом, разрешает входящий трафик от балансировщика нагрузки. Или, более конкретно, из любого ресурса, который связан с ALB-SG .

Маршрут 53 должен иметь запись CNAME, указывающую желаемое имя домена на DNS-имя балансировщика нагрузки .