如果我没有在EB环境的入站规则中指定其安全组,那么流量是否会跳过我的AWS ELB?

时间:2015-02-11 16:32:50

标签: security amazon-web-services amazon-ec2 elastic-beanstalk amazon-elb

我有一个使用Elastic Load Balancer创建的AWS Elastic Beanstalk环境,它指定默认的ELB安全组(“在ELB创建期间未指定安全组时使用的ELB创建的安全组”)作为入站源HTTP。

如果我将此默认ELB安全组替换为环境安全组的入站规则的源,并且端口范围确实是流量

  • 仍然来自ELB并且是
  • 仍然按照ELB的安全组规则进行过滤

或流量然后“跳过”ELB(或至少它的安全组)并直接进入我的实例?

1 个答案:

答案 0 :(得分:0)

听起来您将网络路由的概念与防火墙规则混为一谈。安全组不会影响流量的指示。

网络路由:

  • DNS设置会将流量定向到您的ELB。
  • ELB配置会将收到的流量汇集到向其注册的EC2实例。

安全组:

  • 您的ELB& EC2实例具有分配给它们的安全组。无论将流量引导到那里的网络路由规则是什么,防火墙都会问问题"我是否允许来自a.b.c.d / R的流量通过端口X?"

所以回答你的问题:

是的,您可以更新EB环境的安全组以允许来自ELB的流量。这样做不会影响ELB引导流量的位置。

是的,如果您使用的网络路由首先将流量发送到ELB然后再发送到EC2实例,则流量必须满足ELB的安全组& EC2实例的安全组。如果您的实例位于私有子网中,则从外部端点启动时不能跳过ELB。如果EC2实例位于公有子网中,则用户可以在防火墙规则允许的情况下直接访问您的实例。

但是,我非常怀疑你是否认为这里会发生一些不会发生的事情。我恳请你们阅读网络。一个很好的起点是VPC文档(http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenarios.html)。通过这些场景来了解每个组件的作用。

相关问题
最新问题