如何限制仅从内部区域访问 ElasticBeanstalk 端口 80?
How to limit access to ElasticBeanstalk port 80 from internal zone only?
我有 ElasticBeanstalk 环境,它应该通过 HTTPS 端口公开到 Internet,但也只能通过 HTTP 公开到我的云中的某些实例。因此它有 2 个听众。 EB 为我的环境的 LoadBalancer 安全组自动设置“HTTP ANY IP”入站规则。
现在,我已经为我的 EB 环境定义了一个 Route 53 别名,例如“myenv.company.internal”。接下来,我 curl "http://env1.company.internal" 来自某个 EC2 实例,它仅在入站规则为“HTTP ANY IP”时才有效。如果我尝试将 HTTP 仅限于我的 EC2 实例的安全组,则该实例不能 curl.
如何将我的 EB 环境的 HTTP 端口 80 访问限制为我的云中的其他一些安全组?
How do I limit HTTP port 80 access of my EB environment only to some other security group in my cloud?
您不能为面向 Internet 的 ALB 执行此操作。如果您为 public ALB 设置 env1.company.internal 私有托管区域记录,它只会解析为 ALB 的 public IP 地址。
因此,您不能在 ALB SG 入口规则中使用 SG 来限制流量。这就是为什么它适用于 HTTP ANY IP,但不适用于参考 SG。
如果你想克服这个问题,你可以附加一个弹性 IP 到你的另一个实例,并限制 ALB 上的端口 80 只允许来自弹性 IP 地址的连接。对于更多实例,您可以使用 NAT 网关 的 public IP 地址。
我有 ElasticBeanstalk 环境,它应该通过 HTTPS 端口公开到 Internet,但也只能通过 HTTP 公开到我的云中的某些实例。因此它有 2 个听众。 EB 为我的环境的 LoadBalancer 安全组自动设置“HTTP ANY IP”入站规则。
现在,我已经为我的 EB 环境定义了一个 Route 53 别名,例如“myenv.company.internal”。接下来,我 curl "http://env1.company.internal" 来自某个 EC2 实例,它仅在入站规则为“HTTP ANY IP”时才有效。如果我尝试将 HTTP 仅限于我的 EC2 实例的安全组,则该实例不能 curl.
如何将我的 EB 环境的 HTTP 端口 80 访问限制为我的云中的其他一些安全组?
How do I limit HTTP port 80 access of my EB environment only to some other security group in my cloud?
您不能为面向 Internet 的 ALB 执行此操作。如果您为 public ALB 设置 env1.company.internal 私有托管区域记录,它只会解析为 ALB 的 public IP 地址。
因此,您不能在 ALB SG 入口规则中使用 SG 来限制流量。这就是为什么它适用于 HTTP ANY IP,但不适用于参考 SG。
如果你想克服这个问题,你可以附加一个弹性 IP 到你的另一个实例,并限制 ALB 上的端口 80 只允许来自弹性 IP 地址的连接。对于更多实例,您可以使用 NAT 网关 的 public IP 地址。