Группа безопасности для Application Load Balancer

Question

У меня есть проблема с моим ELB.Мы разрабатываем какое-то веб-приложение, и нам нужно закрыть публичный доступ к нашему приложению из Интернета.Итак, о тестовой среде:

example.com -> Балансировщик нагрузки приложения с route53 -> EC2 в частной подсети.

В группе безопасности для тестирования я открыл 0.0.0.0/0 для 80 и 443 (порт не имеет значения).Мой ответ приложения и все работает отлично.

Но мне не нужен 0.0.0.0/0, поэтому я изменил его на свой офисный IP.И мое приложение перестало работать, потому что IP-адрес от балансировщика нагрузки в двух зонах доступности не разрешен в группе безопасности балансировщика нагрузки.Это очень странно .. Этот IP-адрес не является статичным, и у меня нет никаких гарантий, что этот IP-адрес не изменится за 5 минут.Итак, что у нас есть, я ALB не разрешает его трафик через его IP?

Answer 1

Экземпляры EC2 не обязательно должны находиться в одной группе безопасности с балансировщиком нагрузки.Балансировщик нагрузки должен находиться в группе безопасности, которая разрешает порты 80/443 из Интернета (или IP-адрес вашего офиса).Экземпляры EC2 должны находиться в группе безопасности, которая разрешает трафик из группы безопасности балансировщика нагрузки.

Answer 2

Хм, причина была в том, что NAT IP с IP-адресами ELB не может получить доступ к ALB.Добавлены IP ELB и NAT-шлюз в группу безопасности.Исправлена.Спасибо за помощь

Answer 3

Если вы не хотите, чтобы ваше приложение было открыто для общедоступного Интернета, вы можете настроить VPN в своем VPC или использовать Переадресация SSH-порта для доступа к вашемуприложение в частной подсети.Связанные статьи - только примеры - есть много способов сделать это - но оба - общие подходы.Если вы выберете любой из этих вариантов, ваш ALB не обязательно должен находиться в общедоступной подсети.Он также может находиться в частной подсети, поскольку ваше приложение не должно быть общедоступным.

Это самые безопасные и надежные варианты, доступные вам.В качестве альтернативы, если вы можете определить диапазон IP-адресов, который назначает ваш провайдер, вы можете открыть более широкую сеть в вашей группе безопасности ALB, но по-прежнему не можете использовать полный Интернет.Например, если ваш провайдер всегда назначает адрес в диапазоне 1.2.3.0-254, вы можете добавить правило, разрешающее 1.2.3.0/24.Конечно, любой, кто использует вашего интернет-провайдера, которому назначен один из этих адресов, также сможет получить доступ к вашему приложению.В качестве альтернативы вы можете разработать скрипт, который будет обновлять вашу группу безопасности ALB новым динамическим адресом.