Разрешить ELB-соединение только из экземпляров в одном VPC, подсети и группе безопасности

Question

Я отлично работаю с моим текущим ELB, но из соображений безопасности я хочу ограничить соединения, разрешив только экземпляры в той же группе безопасности, поэтому я создал дополнительную группу безопасности только для управления только ELB, у меня нет проблем, покая разрешаю 0.0.0.0/0 для порта 443, но когда я удаляю правило, я теряю соединение, если я разрешаю публичный ip экземпляра, он будет работать, но у меня есть несколько экземпляров, поэтому это не вариант, ятакже попытался разрешить частный CIDR (10.0.0.0/24) экземпляров, и это не работает, и я также попытался разрешить те же группы безопасности без успеха

Заранее спасибо

Answer 1

Настройкой должно быть:

• A группа безопасности на экземплярах Amazon EC2 запущенное приложение (SG-App), которое разрешает входящий трафик из соответствующих мест для доступа кapp
• A группа безопасности на балансировщике нагрузки (SG-LB), которая разрешает входящие соединения через порт 443 с SG-App

То есть SG-App разрешает входящие соединения от любых экземпляров, связанных с SG-App.Это гораздо лучше, чем разрешать подключения «из одной и той же группы безопасности», поскольку экземплярам требуются разные настройки для ELB.

Когда экземпляры разрешают DNS-имя, связанное с балансировщиком нагрузки, оно должно преобразовываться в частный IP-адрес (10.0).Вы можете проверить это, подключившись к одному из экземпляров и попытавшись проверить связь с DNS-именем ELB и посмотреть, какой IP-адрес он использует.