Como permitir o balanceador de carga elástico através da porta 80 em grupos de segurança?

Navegue suas respostas
18

Eu quero bloquear temporariamente a porta 80 do mundo externo, mas quero que o balanceador de carga passe pelo firewall (por meio do grupo de segurança) para que não veja a instância como não íntegra. Como posso fazer isso?

Atualização: Eu também quero saber como posso permitir somente a mim mesmo acessar o balanceador de carga elástico através da porta 80 (mas impedir o acesso de outras pessoas). Eu sei que o balanceador de carga não tem grupos de segurança específicos que eu possa configurar e dizer para aceitar apenas o meu endereço IP, mas existe alguma outra maneira de fazê-lo?

    
por Idan Shechter 16.10.2011 / 00:10

4 respostas

17

O que Eric faz muito para apontar, mas na verdade não afirma, é que você precisa autorizar a fonte como amazon-elb/amazon-elb-sg . Se você fizer isso por meio do AWS Management Console, ele será concluído automaticamente quando você começar a digitá-lo no campo de origem. Eu opero várias configurações ELB e elas permitem acesso a 80 / TCP através deste grupo de segurança e dos endereços IP estáticos dos meus sistemas de monitoramento.

Para endereçar as informações de solicitação atualizadas, você não pode restringir quais endereços IP podem atingir o ELB. Isso pode ser possível no lado do servidor Apache se você escrever regras que olhem para os cabeçalhos e tomem decisões para rejeitar a visualização da página. Minha maneira de restringir o acesso para testes é adicionar meu IP estático ao grupo de segurança permitido para acessar a instância do EC2 pela porta 80 / TCP e simplesmente retirar a instância do ELB para teste.

    
por 16.10.2011 / 05:35
6

A Amazon anunciou suporte para isso em abril:

You can now configure EC2 instances sitting behind an Elastic Load Balancer to receive traffic only from the Load Balancer by using a special Security Group associated with the Elastic Load Balancer. To do this, you call the DescribeLoadBalancers API to get the name of the SecurityGroup,andthen includethat group in the group list when you subsequently launch some EC2 instances. The name of the Security Group can also be obtained from the load balancer details pane in the AWSManagement Console.

link

    
por 16.10.2011 / 00:33
1

Devo acrescentar que amazon-elb/amazon-elb-sg é o nome padrão do grupo de segurança do balanceador de carga. Se você alterou o nome do grupo de segurança, adicionar amazon-elb/amazon-elb-sg não funcionará. Uma resposta mais genérica é adicionar o ID do grupo de segurança ou o nome do grupo de segurança do balanceador de carga ao grupo de segurança de todas as instâncias participantes do cluster.

    
por 29.01.2014 / 15:23
1

Crie um novo Grupo de segurança para o ELB, depois permita somente o acesso ao EC2 do grupo de segurança ELB. Altere as configurações de segurança na seção VPC para facilitar isso.

IP específico / intervalo - > ELB - > EC2 (apenas grupo ELB) - >

Eu tenho vários dev dev que possuem acesso privado via ELB, mas possuem verificações de integridade necessárias para o moniroting do servidor.

    
por 27.11.2015 / 19:38

Tags

Os servidores do sistema central devem poder conectar-se à Internet para manutenção / suporte? Desative o TeamViewer de "roubar" a porta 80?