Bagaimana memungkinkan penyeimbang beban elastis melalui port 80 dalam kelompok keamanan?

18

Saya ingin sementara memblokir port 80 untuk dunia luar, tetapi ingin penyeimbang beban melewati firewall (melalui grup keamanan) sehingga tidak akan melihat contoh sebagai tidak sehat. Bagaimana saya bisa melakukan itu?

Pembaruan: Saya juga ingin tahu bagaimana saya hanya mengizinkan diri saya mengakses penyeimbang beban elastis melalui port 80 (tetapi mencegah orang lain mengakses). Saya tahu bahwa penyeimbang beban tidak memiliki grup keamanan khusus yang dapat saya atur dan katakan untuk hanya menerima alamat IP saya, tetapi apakah ada cara lain untuk melakukannya?

Idan Shechter
sumber

Jawaban:

17

Apa yang Eric perlukan untuk mengarahkan Anda ke arah tetapi tidak benar-benar menyatakan adalah bahwa Anda perlu mengesahkan sumbernya sebagai amazon-elb/amazon-elb-sg. Jika Anda melakukan ini melalui Konsol Manajemen AWS, itu akan benar-benar otomatis selesai ketika Anda mulai mengetikkannya di bidang sumber. Saya mengoperasikan beberapa konfigurasi ELB dan semuanya memungkinkan akses ke 80 / TCP melalui grup keamanan ini dan alamat IP statis dari sistem pemantauan saya.

Untuk mengatasi info permintaan yang diperbarui, Anda tidak dapat membatasi alamat IP apa yang dapat menekan ELB. Ini bisa dimungkinkan di sisi server Apache jika Anda menulis aturan yang melihat header dan membuat keputusan untuk menolak tampilan halaman. Cara saya membatasi akses untuk pengujian adalah menambahkan IP statis saya ke grup keamanan yang diizinkan untuk menekan instance EC2 melalui port 80 / TCP dan cukup mengeluarkan instance dari ELB untuk pengujian.

Jeremy Bouse
sumber
4
Hal yang melemparkan saya dengan jawaban ini adalah teks amazon-elb / amazon-elb-sg diformat sebagai kode yang menyiratkan bahwa itu adalah beberapa sihir aws id. Pada kenyataannya yang harus Anda lakukan adalah mengetikkan sg-bidang sumber dan Anda mendapatkan dropdown untuk semua grup keamanan yang berbeda.
Krock
6

Amazon mengumumkan dukungan untuk ini pada bulan April:

Anda sekarang dapat mengonfigurasi instance EC2 yang berada di belakang Elastic Load Balancer untuk menerima lalu lintas hanya dari Load Balancer dengan menggunakan Grup Keamanan khusus yang terkait dengan Elastic Load Balancer. Untuk melakukan ini, Anda memanggil DescribeLoadBalancers API untuk mendapatkan nama SecurityGroup, dan kemudian memasukkan grup itu ke dalam daftar grup ketika Anda kemudian meluncurkan beberapa instance EC2. Nama Grup Keamanan juga dapat diperoleh dari panel rincian penyeimbang muatan di Konsol Manajemen AWSM.

http://aws.typepad.com/aws/2011/05/elastic-load-balancing-ipv6-zone-apex-support-additional-security.html

Eric Hammond
sumber
Itu tidak menjawab pertanyaan bagaimana saya bisa membiarkan diri saya sendiri mengakses ke load balancer untuk port 80, bukan saya mengakses server EC2 secara langsung. Tidak ada grup keamanan untuk penyeimbang beban itu sendiri.
Idan Shechter
Bagaimana kalau hanya melindungi kata sandi situs kecuali URL pemeriksaan kesehatan?
Eric Hammond
Bagaimana saya bisa mendapatkan nama grup keamanan penyeimbang beban melalui UI konsol manajemen?
Idan Shechter
1

Saya harus menambahkan itu amazon-elb/amazon-elb-sgadalah nama default grup keamanan load balancer. Jika Anda mengubah nama grup keamanan maka menambahkan amazon-elb/amazon-elb-sgtidak akan berfungsi. Jawaban yang lebih umum adalah menambahkan ID grup keamanan atau nama grup keamanan load balancer ke grup keamanan semua instance yang berpartisipasi dalam cluster.


sumber
1

Buat Grup Keamanan baru untuk ELB, maka hanya mengizinkan akses ke EC2 dari grup keamanan ELB. Ubah pengaturan Keamanan di bagian VPC untuk lebih mudah melakukan ini.

IP / Rentang Specfic -> ELB -> EC2 (Only ELB Group) ->

Saya memiliki beberapa dev env yang memiliki akses pribadi melalui ELB, tetapi memiliki pemeriksaan kesehatan yang diperlukan untuk moniroting server.

pengguna1573604
sumber