我试图理解aws文档中的注释,为弹性beanstalk应用程序配置HTTPS。
说明如下:
如果您决定使用负载平衡环境重新部署应用程序,则可能会将端口443打开到来自Internet的所有传入流量。在这种情况下,请从.ebextensions目录中删除配置文件。然后使用Elastic Beanstalk管理控制台的Configuration页面的Load Balancer部分创建负载平衡环境并设置SSL。
以下是原始文档页面的链接:http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/configuring-https.html#configuring-https-elb
你能帮我理解警告吗?
答案 0 :(得分:0)
此文档写得不好。
实际上有两种不同的可能性
如果所有流量直接进入实例,则需要向所有人打开实例HTTPS端口443
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {Ref : AWSEBSecurityGroup}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
如果你没有,那么每个人都无法访问你的网站。
如果您的所有流量都通过负载均衡器,则可以将实例安全性更改为仅与其通信。它会忽略互联网的其余部分。这样更安全,因为您的负载均衡器是对所有人开放的负载均衡器。这很重要,因为想象一下,如果linux中有一个错误让某人通过做一些奇怪的事情来通过端口443接管你的机器。负载均衡器首先看到它并将其标准化,以便对您的实例进行攻击更加困难。