Làm thế nào để cho phép cân bằng tải đàn hồi qua cổng 80 trong các nhóm bảo mật?

18

Tôi muốn tạm thời chặn cổng 80 cho thế giới bên ngoài, nhưng muốn bộ cân bằng tải đi qua tường lửa (thông qua nhóm bảo mật) để nó không thấy trường hợp này là không lành mạnh. Làm thế nào tôi có thể làm điều đó?

Cập nhật: Tôi cũng muốn biết làm thế nào tôi chỉ có thể cho phép bản thân mình truy cập vào bộ cân bằng tải đàn hồi qua cổng 80 (nhưng ngăn người khác truy cập). Tôi biết rằng bộ cân bằng tải không có các nhóm bảo mật cụ thể mà tôi có thể thiết lập và bảo nó chỉ chấp nhận địa chỉ IP của tôi, nhưng có cách nào khác để làm điều đó không?

amazon-ec2  load-balancing  amazon-web-services  scaling 
Shechter Idan
nguồn

Câu trả lời:

17

Điều mà Eric cần một chặng đường dài để hướng bạn tới nhưng thực tế không nói rõ là bạn cần phải ủy quyền nguồn là amazon-elb/amazon-elb-sg. Nếu bạn đang thực hiện việc này thông qua Bảng điều khiển quản lý AWS, nó sẽ thực sự tự động hoàn thành khi bạn bắt đầu nhập nó vào trường nguồn. Tôi vận hành một số cấu hình ELB và tất cả chúng đều cho phép truy cập 80 / TCP thông qua nhóm bảo mật này và các địa chỉ IP tĩnh của các hệ thống giám sát của tôi.

Để giải quyết thông tin yêu cầu được cập nhật, bạn không thể hạn chế địa chỉ IP nào có thể đạt ELB. Điều này có thể khả thi ở phía máy chủ Apache nếu bạn viết các quy tắc nhìn vào các tiêu đề và đưa ra quyết định từ chối lượt xem trang. Cách hạn chế quyền truy cập để kiểm tra của tôi là thêm IP tĩnh của tôi vào nhóm bảo mật được phép truy cập thể hiện EC2 qua cổng 80 / TCP và chỉ cần lấy ví dụ ra khỏi ELB để kiểm tra.

Vợ chồng Jeremy
nguồn
4
Điều khiến tôi phải trả lời với câu trả lời này là văn bản amazon-elb / amazon-elb-sg được định dạng dưới dạng mã ngụ ý đó là một số id ma thuật. Trong thực tế, tất cả những gì bạn phải làm là nhập sg-vào trường nguồn và bạn nhận được một danh sách thả xuống cho tất cả các nhóm bảo mật khác nhau.
krock
6

Amazon công bố hỗ trợ cho việc này vào tháng 4:

Giờ đây, bạn có thể định cấu hình các phiên bản EC2 ngồi phía sau Bộ cân bằng tải đàn hồi để chỉ nhận lưu lượng truy cập từ Bộ cân bằng tải bằng cách sử dụng Nhóm bảo mật đặc biệt được liên kết với Bộ cân bằng tải đàn hồi. Để thực hiện việc này, bạn gọi API DescribeLoadBalancer để lấy tên của Securitygroup và nhóm này trong danh sách nhóm khi bạn khởi chạy một số phiên bản EC2. Tên của Nhóm bảo mật cũng có thể được lấy từ ngăn chi tiết cân bằng tải trong Bảng điều khiển quản lý AWS.

http://aws.typepad.com/aws/2011/05/elastic-load-balANCE-ipv6-zone-apex-support-additable-security.html

Eric Hammond
nguồn
Nó không trả lời câu hỏi làm thế nào tôi chỉ có thể cho phép bản thân mình truy cập vào bộ cân bằng tải cho cổng 80, chứ không phải tôi truy cập trực tiếp vào máy chủ EC2. Không có nhóm bảo mật nào cho bộ cân bằng tải tự nó.
Shechter Idan
Làm thế nào về chỉ mật khẩu bảo vệ trang web ngoại trừ URL kiểm tra sức khỏe?
Eric Hammond
Làm cách nào tôi có thể có được tên của nhóm bảo mật của bộ cân bằng tải thông qua giao diện người dùng bảng điều khiển quản lý?
Shechter Idan
1

Tôi nên thêm đó amazon-elb/amazon-elb-sglà tên mặc định của nhóm bảo mật cân bằng tải. Nếu bạn thay đổi tên của nhóm bảo mật thì việc thêm amazon-elb/amazon-elb-sgsẽ không hoạt động. Một câu trả lời chung chung hơn là thêm ID nhóm bảo mật hoặc tên nhóm bảo mật của bộ cân bằng tải vào nhóm bảo mật của tất cả các phiên bản tham gia trong cụm.

1

Tạo Nhóm bảo mật mới cho ELB, sau đó chỉ cho phép truy cập EC2 từ nhóm bảo mật ELB. Thay đổi cài đặt Bảo mật trong phần VPC để thực hiện việc này dễ dàng hơn.

IP / Phạm vi cụ thể -> ELB -> EC2 (Chỉ nhóm ELB) ->

Tôi có nhiều dev env có quyền truy cập riêng thông qua ELB, nhưng có các kiểm tra sức khỏe được yêu cầu cho việc chuyển hướng máy chủ.

người dùng1573604
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.