Можно ли внести IP в белый список для входящей связи с экземпляром ec2 за балансировщиком нагрузки aws?

У меня есть единственный экземпляр ec2, на котором запущен веб-сайт за эластичным балансировщиком нагрузки в aws. В основном потому, что я хочу использовать новый и бесплатный ssl Amazon для https.

Моя проблема заключается в том, что мне нужно внести свой IP-адрес в белый список групп безопасности, чтобы я был единственным человеком, который мог видеть этот веб-сайт (и я мог выборочно добавлять людей по мере необходимости).

Я успешно внес свой IP-адрес в белый список без балансировщика нагрузки. Моя задача - внести мой IP-адрес в белый список с прокси-сервером балансировки нагрузки между моим IP-адресом и моим экземпляром ec2.

похоже, что мой экземпляр ec2 не зарегистрируется в балансировщике нагрузки, потому что группа безопасности для моего ec2 не разрешает входящий трафик с любого IP-адреса, кроме моего собственного.

Я ищу способ, чтобы мой балансировщик нагрузки мог проверять работоспособность моего ec2, но разрешать только определенным IP-адресам из белого списка действительно видеть веб-сайт.


amazon-ec2 whitelist elastic-load-balancer
person user1709076    schedule 04.09.2016    source источник
comment
Вы используете балансировщик нагрузки Classic LB или VPC?   -  person error2007s    schedule 04.09.2016
comment
балансировщик нагрузки vpc   -  person user1709076    schedule 05.09.2016

Ответы (2)


arrow_upward
8
arrow_downward

Если вы используете VPC (которым действительно и следовало бы пользоваться), тогда у вас будет группа безопасности, прикрепленная к балансировщику нагрузки. Вот где вы будете заносить IP-адреса в белый список. Серверу EC2 просто нужно внести в белый список группу безопасности Load Balancer.

Вы можете представить это так:

Ваш IP -> Группа безопасности 1 -> Балансировщик нагрузки -> Группа безопасности 2 -> Экземпляры EC2

Группа безопасности 1 проверяет, включен ли IP-адрес в белый список, и пропускает трафик на балансировщик нагрузки. Балансировщик нагрузки отправляет трафик одному из экземпляров в пуле. Группа безопасности 2 проверяет, что трафик исходит от чего-то, что принадлежит к группе безопасности 1 (балансировщик нагрузки), которая внесена в белый список, и позволяет ему проходить к экземпляру EC2.

person Mark B    schedule 04.09.2016
comment
Могу ли я внести другую группу безопасности в белый список группы безопасности балансировщика нагрузки? - person Jayaprakash; 12.10.2018
comment
@Jayaprakash, да, вы делаете это, вводя идентификатор группы безопасности в поле источника. - person Mark B; 12.10.2018
comment
Нет, это не работает, если я укажу идентификатор группы безопасности (группа экземпляров EC2 находится в этой группе безопасности) в поле источника, где, как если бы я ввел IP-адрес экземпляра EC2, он работает. - person Jayaprakash; 15.10.2018
comment
@Jayaprakash, вам, вероятно, нужно будет опубликовать это как отдельный вопрос на этом сайте с более подробной информацией. - person Mark B; 15.10.2018
comment
Можно ли внести некоторые IP-адреса в белый список с помощью ssh в AWS EC2? - person Camit1dk; 12.12.2019
comment
@ Camit1dk да, вы бы занесли эти IP-адреса в белый список для порта 22 в группе безопасности. - person Mark B; 12.12.2019
comment
@MarkB Спасибо, как я могу это сделать через командную строку (SSH)? - person Camit1dk; 13.12.2019

arrow_upward
0
arrow_downward

Мне удалось решить проблему, изменив группу безопасности EC2, чтобы разрешить входящие HTTP-соединения на порт 80 из группы безопасности, назначенной моему балансировщику нагрузки.

а затем мой балансировщик нагрузки разрешает входящий HTTP-трафик на порт 80 из любого места.

так что, я думаю, хитрость здесь в том, что вы можете разрешить входящие соединения с IP-адреса или группы безопасности.

person user1709076    schedule 05.09.2016
comment
Я думал, вы хотите ограничить его только своим IP, и в этом случае вам следует внести свой IP в белый список в группе безопасности балансировщика нагрузки, вместо того, чтобы открывать его для всех IP-адресов. - person Mark B; 05.09.2016
comment
это правильно, я все еще работаю над этой частью. по какой-то причине я не могу назначить нужную мне группу безопасности (содержащую белый список) своему балансировщику нагрузки. когда я перехожу к: балансировке нагрузки ›балансировщикам нагрузки› my-load-balancer ›описанию› безопасности ›редактировать группы безопасности, созданная мной группа безопасности не отображается, я просто вижу группы безопасности по умолчанию, которые разрешают весь трафик - person user1709076; 05.09.2016
comment
Вы должны назначить группу безопасности при создании ELB, вы не сможете назначить другую группу позже. Возможно, вам потребуется воссоздать ELB сейчас. - person Mark B; 05.09.2016