Como restringir o acesso ao EC2 de fora, mas permitir a partir de instâncias do Elastic Beanstalk?

1

Esta é a situação:

Temos um servidor EC2 que executa o Elasticsearch e um ambiente do Elastic Beanstalk (EB). Ambos estão no mesmo VPC.

Esse é meu objetivo:

Permitir acesso ao EC2 (porta 9200) somente de instâncias geradas pelo EB.

O que eu fiz e o que aconteceu:

Dentro do grupo de segurança do EC2, adicionei uma regra para permitir o acesso à porta 9200 do grupo de segurança do Elastic Load Balancer. Não funcionou - expirou. Quando tentou especificar o endereço IP das instâncias do EB - funciona.

Depois disso, tentei uma versão mais simplificada apenas para ver onde está o problema. Criado um grupo de segurança vazio "elasticsearch-client". Em seguida, criou um grupo de segurança "elasticsearch-server" com a seguinte regra

Custom TCP Rule   |   TCP   |   9200   |   sg-xxxxxxxx (elasticsearch-client)

Anexado o grupo de servidores à instância do Elasticsearch EC2 e ao grupo de clientes a uma nova instância do EC2 da qual eu quero fazer a pesquisa. Eu tentei conectar do cliente para o servidor, mas a conexão expira. Eu posso conectar ao servidor se eu permitir conexões de qualquer lugar, então eu sei que o servidor Elasticsearch funciona pelo menos. Também é possível conectar-se a partir da nova instância do EC2, se eu especificar o IP no grupo de segurança.

A maneira como estou usando grupos de segurança está errada? Existe outra maneira de resolver isso?

Qualquer ajuda é muito apreciada.

    
por krabats 13.06.2016 / 18:40

0 respostas