Я хочу временно заблокировать порт 80 для внешнего мира, но хочу, чтобы балансировщик нагрузки проходил через брандмауэр (через группу безопасности), чтобы он не считал экземпляр неисправным. Как я могу это сделать?
Обновить: Я также хочу знать, как я могу разрешить доступ к эластичному балансировщику нагрузки только себе через порт 80 (но запретить доступ другим). Я знаю, что балансировщик нагрузки не имеет определенных групп безопасности, которые я могу настроить и указать ему принимать только мой IP-адрес, но есть ли другой способ сделать это?
Эрик пытается указать на вас, но на самом деле не заявляет, что вам необходимо авторизовать источник как amazon-elb/amazon-elb-sg. Если вы делаете это через Консоль управления AWS, оно будет автоматически завершено, когда вы начнете вводить его в исходное поле. Я использую несколько конфигураций ELB, и все они разрешают доступ к 80 / TCP через эту группу безопасности и статические IP-адреса моих систем мониторинга.
Чтобы адресовать обновленную информацию запроса, вы не можете ограничить, какие IP-адреса могут попадать в ELB. Это может быть возможно на стороне сервера Apache, если вы напишете правила, которые смотрят на заголовки и принимают решения об отклонении просмотра страницы. Мой способ ограничить доступ для тестирования - добавить мой статический IP-адрес в группу безопасности, разрешенную для доступа к экземпляру EC2 через порт 80 / TCP, и просто извлечь экземпляр из ELB для тестирования.
Amazon объявила о поддержке этого в апреле:
Теперь вы можете настроить экземпляры EC2, расположенные за Elastic Load Balancer, на получение трафика только от Load Balancer, используя специальную группу безопасности, связанную с Elastic Load Balancer. Для этого вы вызываете DescribeLoadBalancers API, чтобы получить имя SecurityGroup, а затем включать эту группу в список групп при последующем запуске некоторых экземпляров EC2. Имя группы безопасности также можно получить на панели сведений о балансировщике нагрузки в консоли AWSManagement.
Я должен добавить это amazon-elb/amazon-elb-sg - это имя по умолчанию для группы безопасности балансировщика нагрузки. Если вы изменили имя группы безопасности, добавив amazon-elb/amazon-elb-sg не будет работать. Более общий ответ - добавить идентификатор группы безопасности или имя группы безопасности балансировщика нагрузки в группу безопасности всех экземпляров, участвующих в кластере.
Создайте новую группу безопасности для ELB, затем разрешите доступ к EC2 только из группы безопасности ELB. Измените настройки безопасности в разделе VPC, чтобы это было проще.
Конкретный IP / диапазон -> ELB -> EC2 (только группа ELB) ->
У меня есть несколько dev env, которые имеют частный доступ через ELB, но есть проверки работоспособности, необходимые для мониторинга сервера.