Блокировка всего трафика c, кроме групп безопасности ELB, nginx отвечает 502

Question

Надеюсь, ты мне поможешь. Я успешно настроил ELB, подключенный к двум экземплярам ec2. ELB прослушивает порт 443 и пересылает его на порт 80.

Все работает, как ожидалось.

Сейчас я хочу заблокировать весь трафик c на экземпляры ec2, кроме следующего. из ELB.

Я создал новую группу безопасности:

Accept all from sg-xxxxx

Где sg-xxx - группа безопасности ELB, для которой установлено значение:

Accept HTTPS from 0.0.0.0/0 | 0:*

I go экземпляр ec2, удалите SG по умолчанию и назначьте вновь созданный SG для приема трафика c только от сервера ELB (сеть, назначьте группу безопасности), отвечает:

<html>

<head>
    <title>502 Bad Gateway</title>
</head>

<body>
    <center>
        <h1>502 Bad Gateway</h1>
    </center>
    <hr>
    <center>nginx/1.15.8</center>
</body>

</html>

Что я делаю не так?

Спасибо за любую помощь!

Answer 1

Рекомендуемая конфигурация:

• Группа безопасности на балансировщике нагрузки (LB-SG) с:
  • Правила для входящих: порты 80 и 443 от 0.0.0.0/0
  • Исходящие правила: разрешить весь трафик c
• Группа безопасности на каждом инстансе Amazon EC2 (App-SG) с:
  • Правилами для входящих: порт 80 из LB-SG
  • Исходящие правила: разрешить весь трафик c

То есть App-SG должен принимать входящий трафик c из LB-SG, указав другую группу безопасности.

Рекомендуется всегда разрешать весь исходящий трафик c, поскольку приложения, работающие на вашем собственном экземпляре, должны быть «доверенными», если вы специально не хотите заблокировать безопасность.