我很难弄清楚如何为我的 LoadBalancer 设置正确的 SecurityGroup 规则。我做了一个图表来尝试说明这个问题,请看下图:
我有一个面向互联网的 LoadBalancer(图中的“服务 A LoadBalancer”),它是从“内部”和我们的 ECS 服务之一(图中的“任务 B”)请求的。对于内部请求,我可以为“Service A LoadBalancer”配置一个 SecurityGroup 规则,允许从我们内部 IP 的 CIDR 向端口 80 上的 LoadBalancer 传入请求。那里没问题。但对于其他 ECS 服务(任务 B),我如何添加一条仅允许来自任务 B 的请求的规则(图中的“服务 A 安全组”)? (或者仅来自 ECS 集群中的任务)?由于它是面向互联网的负载均衡器,因此请求是从机器 EC2 的公共 IP 发出的,而不是私有 IP(据我所知?)。
显然,我可以制定一条规则,允许来自 0.0.0.0/0 的端口 80 上的请求,这可以工作,但这还远远不够限制。由于它是面向互联网的负载均衡器,因此添加允许来自“集群安全组”(图中)的请求的规则并不会减少它。我认为这是因为 LB 无法推断请求源自哪个 SecurityGroup,因为它是面向互联网的 - 如果它是内部 LoadBalancer,那么这将起作用。但我无法使用内部 LoadBalancer,因为它也是从 AWS 外部(内部)请求的。
任何帮助,将不胜感激。
谢谢
弗雷德里克
我们通过运行单独的面向互联网和内部负载均衡器来解决这个问题。同一集群可以有多个 ELB 或 ALB (ELBv2)。假设您的 ECS 集群在 IP 范围内运行,例如10.X.X.X你可以打开10.X.0.0/16用于内部 ELB 上的内部访问。只需确保 ECS 集群 SG 也对 ELB 开放即可。假设您在发出请求时使用内部 ELB 地址的 DNS,任务 B 可以通过内部 ELB 地址到达任务 A。如果您访问公共 DNS 的 IP,它将始终是公共请求。
但是,您可能需要从长远考虑是否真的需要公共 ELB。下一步通常是运行 OpenVPN 等 VPN,而不是 IP 限制,以便您可以连接到 VPC 并访问专用网络上的所有内容。通常,只有当我们确实需要互联网上的某些东西(例如为外部客户提供服务)时,我们才会运行面向互联网的 ELB。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
