我有一个ec2实例在aws中运行弹性负载均衡器后面的网站。主要是因为我想使用亚马逊新的免费ssl for https。
我的挑战是,我需要在安全组中将我的IP地址列入白名单,以便我是唯一可以看到此网站的人(我可以根据需要有选择地添加人员)。
我在没有负载均衡器的情况下成功将我的IP地址列入白名单。我的挑战是白色,用我的IP地址和我的ec2实例之间的负载均衡器代理列出我的IP地址。
看起来我的ec2实例不会注册到负载均衡器,因为我的ec2的安全组不允许来自任何IP地址的传入流量,除了我自己的。
我正在寻找一种方法让我的负载均衡器能够健康检查我的ec2,但只允许特定的白名单ips实际上看到该网站。
答案 0 :(得分:5)
如果您使用的是VPC(您确实应该这样做),那么您将在负载均衡器上附加一个安全组。这就是你将IP地址列入白名单的地方。 EC2服务器只需要将Load Balancer的安全组列入白名单。
你可以像这样形象化它:
您的IP - >安全组1 - >负载均衡器 - >安全组2 - > EC2实例
安全组1验证IP地址是否在白名单中,并允许流量通过负载均衡器。 Load Balancer将流量发送到池中的一个实例。安全组2验证流量来自属于安全组1(负载均衡器)的内容,该内容已被列入白名单,并允许其传递到EC2实例。
答案 1 :(得分:0)
我能够通过更改EC2的安全组来解决此问题,以允许来自分配给我的负载均衡器的安全组的端口80上的传入http连接。
然后我的负载均衡器本身允许从任何地方在端口80上传入HTTP流量。
所以我猜这里的技巧是,你可以允许来自IP或安全组的传入连接。