AWS:允许从私有实例访问面向 Internet 的负载均衡器的安全组

【问题标题】:AWS: Security Group to allow access internet-facing Load balancer to be accessed from private instancesAWS:允许从私有实例访问面向 Internet 的负载均衡器的安全组
【发布时间】:2017-07-01 14:04:49
【问题描述】:

我的问题是this 的扩展版本。

在我的例子中,安全组必须限制对负载均衡器 1 的访问。它必须有一些列入白名单的 IP。那么,我可以在此处放置哪些 IP 以允许从 Auto Scaling Group 2 私有实例访问负载均衡器 1?

我尝试将 NAT 网关的弹性 IP 作为白名单 IP 并且它可以工作。我想了解为什么绝对有必要将此 IP 放在安全组中以从 同一 VPC 的私有子网实例访问面向 Internet 的 ALB。

【问题讨论】:

标签: amazon-web-services nat aws-security-group elastic-load-balancer


【解决方案1】:

我已尝试将 NAT 网关的弹性 IP 作为白名单 IP 它有效。我想了解为什么绝对有必要 将此 IP 放在安全组中以访问面向 Internet 的 ALB 同一 VPC 的私有子网实例。

因为私有子网中的实例会查找公共负载均衡器的 DNS,将其解析为其公共互联网 IP,然后尝试连接到通过 NAT 网关路由的该 IP。

据我所知,没有办法让公共弹性负载均衡器也可以解析为您的 VPC 内的私有 IP。因此,您必须通过 NAT 网关才能从您的私有 IP 内部访问公共负载均衡器。

另一种设置是创建第三个私有负载均衡器,它也指向 Auto-Scale Group #1 中的实例,并让您的私有子网实例与该负载均衡器通信。

如果您使用第三种负载均衡器方法,您将创建一个新的目标组,将该组分配给您现有的自动扩展组,并将新的负载均衡器指向新的目标组。关键是一个目标组只能被一个Application Load Balancer使用,但是实例可以属于多个目标组,而自动伸缩组可以有多个目标组。

【讨论】:

  • 最有趣!我已经确认“公共”负载均衡器上的安全组允许另一个安全组 ('SG2') 的入站流量,来自 SG2 的流量没有成功到达负载均衡器。我通过“作弊”对此进行了测试——我从 ENI 列表中获取了负载均衡器节点的私有 IP 地址,并且能够通过该私有 IP 地址进行通信。问题在于负载均衡器 DNS 名称解析为公共 IP 地址而不是内部 IP 地址。第三种负载均衡器方法会起作用。
猜你喜欢
  • 2015-08-27
  • 2018-04-19
  • 2014-03-09
  • 2018-08-20
  • 2018-05-19
  • 2020-03-01
  • 2023-03-08
  • 2017-08-09
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode