Могут ли экземпляры с внутренней видимостью балансировки нагрузки отправлять данные за пределы VP C? - PullRequest
0 голосов
/ 15 января 2020

У меня есть два экземпляра Elasti c Beanstalk внутри одного VP C - один с общедоступной c балансировкой нагрузки (доступно inte rnet), один только с внутренней балансировкой нагрузки.

Для дополнительной безопасности я бы хотел, чтобы внутренний экземпляр был полностью изолирован от publi c inte rnet - никакие данные не могут входить и никакие данные не могут выходить, если это не происходит через другой экземпляр в моем VP C.

Является ли то, что я ищу, «изолированным» экземпляром, выполненным, если мой балансировщик нагрузки VP C только для внутреннего использования? То есть может ли внутренний единственный экземпляр сделать запрос к www.google.com (или другому случайному сайту), находясь внутри VP C, или он не сможет выйти за пределы VP C? Или же мне нужно настроить исходящие группы безопасности, чтобы запретить весь трафик c, а не для других моих экземпляров.

Это внутренний параметр, о котором я говорю в Elasti c Beanstalk:

Видимость : Внутренняя

Make your load balancer internal if your application serves requests only from connected VPCs. Public load balancers serve requests from the Internet.


В качестве примечания я настроил группы безопасности так, чтобы единственным исходящим соединением был балансировщик нагрузки и VP C группа безопасности. Но мне интересно, продвигает ли внутренняя балансировка нагрузки этот шаг дальше, независимо от того, что я установил в моих правилах исходящего трафика.

1 Ответ

0 голосов
/ 15 января 2020

Внутренний балансировщик нагрузки будет / может маршрутизировать трафик c в оба экземпляра в Publi c Su bnet или в частном Su bnet. Маршрутизация трафика c через внутренний балансировщик нагрузки не влияет и не влияет на видимость экземпляров, в которые трафик c направляется из балансировщика нагрузки.

...