在AWS, 我有一个EC2实例当前允许端口 80 上的传入流量。我在此实例上托管 API,因此目前我可以使用 Postman 在 EC2 实例的公共 IP 上访问 API 端点。到目前为止一切顺利。
接下来,我设置了一个面向互联网的应用程序负载均衡器使用 SSL 证书和子域(称为 api.whatever.com)。负载均衡器的安全组阻止端口 80 流量,但允许端口 443(HTTPS)流量。并且负载均衡器配置为通过端口 80 将请求转发到 EC2 实例。
因此,我可以访问我的 API 并通过负载均衡器获得响应,例如https://api.whatever.com/something.php。 尽管http://api.whatever.com/something.php由于 80 端口被阻止,因此无法访问。这就是我想要的。
但是,现在我想要做的是阻止 EC2 实例响应来自任何地方的 HTTP 请求除了负载均衡器。但是,如果我从 EC2 安全组中删除端口 80,负载均衡器将无法再联系它,因为它使用端口 80。我正在寻找负载均衡器的 IP 地址,以便我可以在端口 80 上的安全组中将该 IP 列入白名单,但我找不到这样的东西。
如何排除除负载均衡器之外的所有内容对我的 EC2 实例的端口 80 访问?
答案1
删除实例对端口 80 的全局访问,并且仅允许来自 ELB 的流量安全组。
这可以通过控制台完成:
或者通过 CLI:
aws ec2 authorize-security-group-ingress
--group-name MyEC2Group
--protocol tcp
--port 80
--source-group MyELBGroup