仅允许来自同一 VPC、子网和安全组中的实例的 ELB 连接
Allow ELB connection just from instances in the same VPC, Subnet and Security Group
我目前的 ELB 工作正常,但出于安全原因,我想通过只允许同一安全组中的实例来限制连接,所以我创建了一个仅用于管理 ELB 的附加安全组,我没有问题虽然我允许 0.0.0.0/0 到 443 端口,但是当我删除规则时我正在失去连接,如果我允许实例的 public ip 它会工作,但我有几个实例所以它不是一个选项,我也尝试允许实例的私有 CIDR (10.0.0.0/24) 但它不起作用,我也尝试允许相同的安全组但没有成功
提前致谢
设置应该是:
- Amazon EC2 实例上的安全组 运行 您的应用程序 (
SG-App) 允许来自适当位置的传入流量访问该应用程序
- 负载均衡器 (
SG-LB) 上的安全组允许端口 443 上来自 SG-App 的入站连接
也就是说,SG-App 允许来自与 SG-App 关联的任何实例的入站连接。这比允许连接 "from the same security group" 好得多,因为实例需要对 ELB 进行不同的设置。
当实例解析与负载均衡器关联的 DNS 名称时,它应该解析为 私有 IP 地址 (10.0)。您可以通过连接到其中一个实例并尝试 ping/lookup ELB DNS 名称并查看它使用的 IP 地址来对此进行测试。
我目前的 ELB 工作正常,但出于安全原因,我想通过只允许同一安全组中的实例来限制连接,所以我创建了一个仅用于管理 ELB 的附加安全组,我没有问题虽然我允许 0.0.0.0/0 到 443 端口,但是当我删除规则时我正在失去连接,如果我允许实例的 public ip 它会工作,但我有几个实例所以它不是一个选项,我也尝试允许实例的私有 CIDR (10.0.0.0/24) 但它不起作用,我也尝试允许相同的安全组但没有成功
提前致谢
设置应该是:
- Amazon EC2 实例上的安全组 运行 您的应用程序 (
SG-App) 允许来自适当位置的传入流量访问该应用程序 - 负载均衡器 (
SG-LB) 上的安全组允许端口 443 上来自SG-App 的入站连接
也就是说,SG-App 允许来自与 SG-App 关联的任何实例的入站连接。这比允许连接 "from the same security group" 好得多,因为实例需要对 ELB 进行不同的设置。
当实例解析与负载均衡器关联的 DNS 名称时,它应该解析为 私有 IP 地址 (10.0)。您可以通过连接到其中一个实例并尝试 ping/lookup ELB DNS 名称并查看它使用的 IP 地址来对此进行测试。