私密地与公共弹性豆茎负载均衡器

时间:2016-11-28 15:15:38

标签: amazon-web-services elastic-beanstalk

我部署了两个beanstalk应用程序 - 一个app和一个api。两者都有公共负载均衡器。实例和负载均衡器都在相同的安全组中:默认的自引用vpc安全组和允许来自单个IP的http访问的组。它们都在同一个VPC中。这两项服务目前无法沟通。我希望他们能够通过将它们放在相同的默认SG中来进行通信。

我已经连接到应用程序的实例,我发现我可以成功地卷曲API的实例,但我不能卷曲API的负载均衡器。我发现如果我将具有应用程序实例的公共IP的安全组添加到API负载均衡器,我可以成功通信,但是如果我只添加私有IP则不行。因此,我的问题是:

  • 如果我向自引用安全组添加实例,它是否只允许私有IP通过?
  • 虽然我希望我的服务可以公开访问我允许的单一IP,但我更愿意,如果他们私下之间进行通信。是否可以使用公共负载均衡器来实现这一目标?

1 个答案:

答案 0 :(得分:0)

2天的学习之后我想我可以用我学到的东西回答我的问题:

  • 自引用安全组仅包含实例的私有IP
  • 如果负载均衡器具有公共DNS,则实例将通过互联网与其通信。
  • 您可以从EC2中找到负载均衡器的私有IP地址 - >网络接口接口,但我没有走这条路,因为我无法自动化
  • 相反,我将API beanstalk loadbalancer设置为 internal ,以及与公共区域匹配的私有区域。这使得应用程序的流量可以私下在两个环境之间传输,并允许使用自引用安全组。
  • 然后我在API的beanstalk启动配置中添加了一个额外的公共负载均衡器,添加了一个限制我想要访问的一个IP的安全组。公共区域CNAME指向此。

这一切都可以自动化。

相关问题
最新问题