Amazon AWS EC2 - Как ограничить трафик, который будет приниматься только от Elastic Load Balancer?

Question

Прямо сейчас, когда я вручную ввожу свой адрес EC2 ipv4 в браузере, я получаю веб-страницу обратно.
Как я могу ограничить экземпляр EC2 только получением и отправкой данных в подключенный Elastic Load Balancer (ELB)к этому?

Спасибо.

Answer 1

Вам следует ограничить доступ к своему ec2 только трафиком от ELB, если у вас нет особых причин не делать этого.

У вас будет группа безопасности, назначенная для ELB, например sg-xxxxxx.Убедитесь, что при создании другой группы безопасности для вашего ec2 вход для 80/8080/443 (в зависимости от используемых портов) не зависит от CIDR, но вместо этого используйте группу безопасности, назначенную ELB.Обязательно убедитесь, что эта группа безопасности учитывает как трафик, так и трафик проверки работоспособности, поскольку ELB не будет отправлять трафик на нездоровые узлы.

В идеале в вашем VPC должны быть как частные, так и публичные подсети, и в этом случае ваш ELB должен быть публичным, а EC2 - частным.

Answer 2

1-Никто не знает ваш IP-адрес EC2, поэтому, если вы поместите его за ELB, все увидят IP-адрес ELB.

2-Вы можете использовать группу безопасности только для ограничения доступа к вашему EC2от ELB.

Отредактируйте свою группу безопасности EC2 и добавьте имя своей группы безопасности ELB, после этого только ELB может получить прямой доступ к EC2.

Для получения дополнительной информации прочитайте следующие документы:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-update-security-groups.html