允许来自自身的流量的安全组

【问题标题】:Security group allowing traffic from itself允许来自自身的流量的安全组
【发布时间】:2016-07-01 06:09:00
【问题描述】:

我在 VPC 中有一个 Webserver,它偶尔会使用 curl 使用其中一个 从自身获取或发布资源与server 相关联。我为此服务器分配了一个限制性安全组,因为我只想允许来自特定IP 范围traffic。此外,我将安全组本身添加为入站traffic 的来源,以处理 curl 调用。

很遗憾,这不起作用。 连接超时。在 服务器的 IP 上使用 command-line 中的 wget 或其中一个域也会超时。修复它的唯一方法是允许来自安全组上“0.0.0.0/0”的流量,我不想这样做。

作为一种解决方法,我已将每个 domain 的“127.0.0.1”条目添加到 hosts 文件中,但这对我来说不是一个长期的解决方案。

有什么解决办法吗?

【问题讨论】:

    标签: web-services amazon-web-services amazon-ec2


    【解决方案1】:

    流量基本上是去往互联网并返回,这意味着它正在离开 VPC,因此不再被识别为来自安全组内。要允许来自安全组的流量,该流量必须发送到专用 IP 地址,而不是公共 IP 或域名。

    一种方法是添加hosts 文件条目,就像您所做的那样。您还可以在 Route53 中创建一个私有托管区域并将其分配给 VPC,然后覆盖您的 VPC 中的某些 DNS 记录以路由到私有 IP 地址。

    【讨论】:

    • 您能否详细说明“某些 DNS 记录”。我创建了一个私有 Route53 区域,该区域转发到另一个负载均衡器,但请求仍然看起来像是来自互联网。
    • 我的意思是您想要在 VPC 中覆盖的任何 DNS 记录。
    猜你喜欢
    • 1970-01-01
    • 2020-11-14
    • 2013-11-07
    • 2012-10-24
    • 2020-04-11
    • 1970-01-01
    • 2022-06-28
    • 2020-11-10
    • 2018-04-19
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode