我的目标:
使我的 AWS Elastic Load Balancer 仅受来自我的 IP 的流量访问。
我已尝试过:
- 在 EC2 安全组中创建了一个安全组
- 设置允许来自我的 IP 的所有流量的入站规则 [全部,全部,全部,/32]
- 为该 ELB 分配了新创建的安全组
- 尝试从 myoffice 之外的 IP 访问 elb
结果:
所有流量,即使来自除我之外的其他 IP,仍可能到达我的 ELB(从而到达我的应用服务器)。
我做错了什么?如何阻止进入我的 ELB(以及其后面的 EC2 实例)的入站流量?
答案1
您需要在应用服务器上创建一个安全组,仅允许来自 ELB 安全组的入站流量。
正如文档所说:
此功能涉及两个安全组 - 源安全组和定义后端实例入口规则的安全组。要锁定负载均衡器和后端实例之间的流量,请向后端安全组添加或修改限制入口流量的规则,使其只能来自 Elastic Load Balancing 提供的 Amazon EC2 源安全组。
答案2
在下面验证。
1)如果连接到ELB,VPC的默认安全组是否允许80到任意?
2)除了明确允许的 SG 之外,其他 SG 都不应附加到 ELB
3)由于您只能允许安全组中的流量,其余所有流量都将受到隐式拒绝,因此还有另一种方法可以删除启动 ELB 的子网的 NACL 中的所有流量。