Назад | Перейти на главную страницу

Группа безопасности AWS ALB разрешает подключение только с моих серверов

Я использую доступный в Интернет AWS ALB (Application Load Balancer) с кластером ECS (докер), и я хочу использовать его для пересылки стандартного веб-трафика и трафика внутренних веб-сервисов.

Балансировщик нагрузки приложения имеет прослушиватель для порта 443, он используется для стандартных веб-соединений https, он работает хорошо (я могу подключиться через браузер).

Я хочу использовать другой прослушиватель на другом порту (например, 10443) для своих внутренних микросервисов, только мои серверы должны иметь возможность подключаться к этим серверам. Я создал и настроил прослушиватель и правила ALB. У меня 2 группы безопасности:

С такой конфигурацией мои серверы не могут подключиться к порту 10443 на балансировщике нагрузки.

Единственный способ подключения - разрешить подключения отовсюду. фунтSG для порта 10443, но это плохая практика безопасности.

Я не использую обнаружение служб, потому что мне нужно использовать другую службу DNS (не Route53).

Для общедоступного балансировщика нагрузки (один в общедоступной подсети) ваши экземпляры в вашей частной подсети будут проходить через шлюз NAT на общедоступную сторону балансировщика нагрузки. Это означает, что ваша группа безопасности должна использовать IP-адрес (EIP) шлюза NAT.