是否可以将ip列入白名单,以便与aws负载平衡器后面的ec2实例进行入站通信?
我有一个ec2实例在aws的弹性负载平衡器后面运行一个网站。主要是因为我想使用亚马逊新推出的免费https ssl。
我的挑战是,我需要在安全组中将我的IP地址列入白名单,以便我是唯一可以看到这个网站的人(并且我可以根据需要选择性地添加人员)。
我已经成功地将没有负载平衡器的IP地址列入了白名单。我的挑战是在我的IP地址和ec2实例之间使用负载平衡器代理白名单出我的IP地址。
似乎我的ec2实例不会向负载平衡器注册,因为我的ec2的安全组不允许来自任何IP地址(我自己的IP地址除外)的传入流量。
我正在寻找一种方法,让我的负载均衡器能够健康检查我的ec2,但只允许特定的白名单ips实际看到该网站。
共有2个答案
通过更改EC2的安全组,允许从分配给负载平衡器的安全组在端口80上传入http连接,我能够解决这个问题。
然后,我的负载平衡器本身允许从任何地方在端口80上传入HTTP流量。
所以我想这里的诀窍是,您可以允许来自IP或安全组的传入连接。
如果您使用的是专有网络(您确实应该这样),那么您将有一个安全组连接到负载平衡器。这就是您将IP地址列入白名单的地方。EC2服务器只需要将负载平衡器的安全组列入白名单。
您可以将其可视化如下:
您的IP-
安全组1验证IP地址是否在白名单上,并允许流量通过负载平衡器。负载平衡器将流量发送到池中的一个实例。安全组2验证流量是否来自属于安全组1(负载平衡器)的某个内容,该安全组已被列入白名单,并允许它传递到EC2实例。
-
我有一个Django应用程序,使用Apache和mod\u wsgi在AWS ELB平衡器后面的EC2实例上运行。平衡器将SSL流量(端口443)映射到EC2实例上的端口8080。Apache在端口8080上配置了一个VirtualHost来服务Django应用程序,服务器名设置为网站的域名。Django以生产模式(DEBUG=False)运行,并公开一个healtcheckendpoint(at
-
目标:将弹性/静态IP分配给负载平衡器(LB),以服务于处理DNS(端口53)、HTTPS(端口443)、HTTP(端口80)的EC2实例。 需要静态IP来正确配置DNS记录(即A记录)。需要在后端/服务器上终止TLS,以提供无限制的 经典的负载平衡器允许自定义安全规则,并允许在EC2实例上终止SSL。问题是静态IP不能分配给经典LB,只能分配给其中的单个实例,这无法平衡负载。 要分配静态IP,我
-
负载均衡器的作用是将流量转发到主机。在这方面,ingress与负载均衡器有何不同?另外,与Amazon ELB和ALB相比,kubernetes内部的负载均衡器是什么概念?
-
我正在使用谷歌GKE。我需要一个内部tcp直通负载平衡器来公开我的服务。后端服务可以终止TLS通信。我可以手动配置tcp负载平衡器。但是,我想通过入口管理loadbalancer。google云文档只谈到通过入口创建HTTP(S)L7负载平衡器。 是否可以通过GKE入口配置Google Cloud内部TCP/UDP负载均衡器?
-
我有一个在AWS上运行的项目。结构如下: 我已使用AWS证书管理器为负载平衡器创建了一个证书。所以现在的流量是: 但由于加载网页时实例上没有证书,因此会收到“站点不安全”警告。 如何创建从客户端到负载均衡器后面的任何实例的完整SSL连接? 编辑 以下是nginx配置(适用于所有实例)
-
我有一个非常简单的Spring Boot应用程序,具有社交单点登录功能。 看起来是这样的: 它在应用程序中有必需的条目。yml: 它在我的本地机器上运行得很好,并且只启动了一个实例。 当有多个实例隐藏在负载平衡器后面时,就会出现问题。 即使用户在第一个请求中进行身份验证,向负载均衡器发出的后续请求也会因401而被阻止。 与第一个应用程序实例相比,请求被路由到不同的应用程序实例。 我正在试图弄清楚,