我正在使用面向互联网的 AWS ALB(应用程序负载均衡器)和 ECS 集群(docker),我想使用它来转发 Web 标准和内部 Web 服务流量。
应用程序负载均衡器有一个 443 端口的监听器,它用于标准 https 网络连接,运行良好(我可以通过浏览器连接)。
我想为我的内部微服务使用另一个端口(例如 10443)中的其他侦听器,只有我的服务器必须能够连接到这些服务器。我创建并配置了 ALB 侦听器和规则。我有 2 个安全组:
- 服务器SG:我的 ECS 集群服务器在哪里。它允许来自磅级. 允许所有出站流量。
- 磅级:负载均衡器安全组。它允许来自端口 443 上任意位置的入站流量。它允许来自 服务器SG在端口 10443 上,并允许所有出站流量。
通过这些配置,我的服务器无法连接到负载均衡器上的端口 10443。
连接的唯一方法是允许来自任何地方的连接磅级对于端口 10443,但这是一种不好的安全做法。
我没有使用服务发现,因为我必须使用另一个 DNS 服务(不是 Route53)。
答案1
对于面向公众的负载均衡器(公共子网中的负载均衡器),您的私有子网中的实例将通过 NAT 网关进入负载均衡器的公共端。这意味着您的安全组需要使用 NAT 网关的 IP 地址 (EIP)。