当使用 ECR 存储用于 ECS 的容器映像时,EC2 实例(或 Fargate 服务)必须具有允许(通过公共互联网)访问特定于账户的存储库 URI 的安全组。
许多组织都有严格的 IP 白名单规则,通常不允许为所有 IP 启用出站端口 443。
ECR 没有可用的 VPC 端点接口/网关,并且可能与大多数 AWS 服务一样,其 IP 地址是弹性的并且可以随时更改。
那么,如何向安全组添加出口规则,以允许通过端口 443 对 ECR URI 进行出站访问,而不向所有 IP 地址开放该端口?
尽管端点的 IP 地址可以更改,但它只会更改为相当大的 CIDR 块中的另一个 IP 地址。亚马逊在 .json 文件中发布其所有 IP 地址范围,可在此处获取:
https://aws.amazon.com/blogs/aws/aws-ip-ranges-json/ https://aws.amazon.com/blogs/aws/aws-ip-ranges-json/
您可以将其范围缩小到您部署到的区域中 EC2 和 AMAZON 服务的 IP 地址范围。虽然范围相当大。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)