Aws Elastic Load Balancing группа безопасности, не допускающая входящие звонки

Question

В AWS работает следующая структура:

Cloudfront -> Varnish -> Nginx -> Elb -> Ec2.

Varnish и Nginx работают на одном экземпляре ec2.Проблема в том, что nginx может сделать заявку на моего Эльба, только если я позволю входящему трафику открыться где-нибудь в группе безопасности.Я не хочу, чтобы мой Эльб открывался где-либо, я просто хочу, чтобы мой Nginx делал запросы Эльбу.Если я пытаюсь изменить группу безопасности моего Elb, чтобы разрешить только вызовы nginx, это не сработает.Кто-нибудь знает, что это может быть?

Answer 1

Звучит так, будто вы пользуетесь интернетом лицом к ELB.В этом случае DNS ELB разрешается на общедоступные IP-адреса независимо от того, разрешаете ли вы его из того же VPC или вне VPC.Правила группы безопасности, относящиеся к другим группам безопасности, в этом случае неприменимы.

Это не похоже на экземпляры EC2, DNS которых будет разрешать частные IP-адреса внутри VPC и публичные IP-адреса вне VPC.

Два возможных решения:
1. Назначьте Elastic IP для экземпляра Varnish / Nginx и разрешите этот IP в группе безопасности ELB.
2. Используйте внутренний ELB, который разрешает частные IP, еслиэто подходит для вашего случая использования.