我的小公司正在 AWS 上开发一个 Web 应用程序,使用 VPC 和 EC2 容器服务,并使用应用程序负载均衡器将流量引导到我们的应用程序。我已经启动并运行了环境,但我想保护它,以便只有我们公司的人才能访问它。我不太确定理想的解决方案是什么——其他人是如何解决这个问题的?
答案1
这很简单:
- 创建一个IPsec 隧道VPC 和您的公司网络之间。
- 不要将 EIP 或其他公共地址分配给 NAT/出口网关以外的任何设备。如果您想要真正隔离事物,请设置 VPC 路由表,使默认路由指向您的办公室路由器,并将其配置为 VPC 子网的 NAT。这样,来自 VPC 的所有流量(即使是互联网绑定的流量)都会被迫首先通过您的办公室网络,在那里它将受到与您办公室其他流量相同的流量检查规则的约束。
- 配置防火墙规则以仅允许来自公司网络的私有地址空间的连接。