Как ограничить доступ к AWS Load Balancer, чтобы только другой конкретный AWS Load Balancer мог иметь входящий доступ?

в настоящее время у нас есть API и веб-сайт, работающие на AWS Elastic Beanstalk, оба с балансировщиками нагрузки. Прямо сейчас мы пытаемся выяснить, как ограничить весь входящий трафик для балансировщика нагрузки API, чтобы балансировщик нагрузки веб-сайта был единственной точкой доступа к API. Мы пытались работать с группами безопасности, но у нас ничего не получается.

Мы уже удалили весь входящий доступ к API, и это ограничило любой доступ, но мы просто не можем заставить Веб-сайт получить к нему доступ.

Наша конечная цель - создать систему, в которой API никогда не будет доступен извне, но веб-сайт будет иметь полный доступ к нему через HTTPS-вызовы.

Надеюсь, вы, ребята, можете нам помочь, заранее спасибо!


amazon-web-services amazon-ec2 amazon-elastic-beanstalk aws-load-balancer aws-elb
person codinggenericfreak    schedule 30.09.2019    source источник
comment
SG - правильный путь в этой настройке. что ты уже испробовал?   -  person Vikyol    schedule 30.09.2019
comment
Мы попытались удалить все стандартные входящие записи в API Load Balancer и добавили Load Balancer SG веб-сайта как единственную входящую запись в SG API LB. Но теперь ни у кого нет доступа к API, даже у веб-сайта.   -  person codinggenericfreak    schedule 30.09.2019
comment
Ни Classic ELB, ни Application Load Balancers не могут каскадировать за другим Classic или ALB, поэтому я склонен полагать, что описание вашей настройки неполное. Вы новичок упомянули, как балансировщик веб-сайта обращался к балансировщику API, прежде чем вы его изменили, и какое изменение вы сделали, что помешало его работе.   -  person Michael - sqlbot    schedule 01.10.2019

Ответы (1)


arrow_upward
1
arrow_downward

Ваш веб-сайт работает на экземпляре EC2, доступном только через ELB. Сервер API работает в частной подсети и доступен через внутренний ELB. Вы хотите, чтобы ваш сайт имел доступ к серверу API. Следующие шаги должны решить проблемы, с которыми вы столкнулись:

  1. Настройте балансировщик нагрузки API как внутренний, чтобы он не был доступен из вашего VPC.

  2. Примените следующие правила группы безопасности, чтобы позволить экземпляру приложения получить доступ к серверу API.

Веб-приложение (EC2) SG

80/443 sg-xxxelb (внешний ELB SG)

Внешний ELB SG

80/443 0.0.0.0/0

Ваш сервер API должен быть доступен только для экземпляра WebApp.

Внутренний (сервер API) ELB SG

443 sg-xxxec2 (SG экземпляра WebApp EC2).

person Vikyol    schedule 30.09.2019