보안 그룹에서 포트 80을 통한 탄력적로드 밸런서를 허용하는 방법은 무엇입니까?


18

외부 세계의 포트 80을 일시적으로 차단하고 싶지만로드 밸런서가 방화벽을 통과하여 (보안 그룹을 통해) 인스턴스가 비정상으로 보이지 않도록하고 싶습니다. 어떻게해야합니까?

업데이트 : 또한 포트 80을 통해 탄력적 인로드 밸런서에 자신 만 액세스하도록 허용하는 방법을 알고 싶습니다 (다른 사람은 액세스하지 못함). 로드 밸런서에는 설정하고 내 IP 주소 만 허용하도록 지정할 수있는 특정 보안 그룹이 없지만 다른 방법이 있습니까?

답변:


17

Eric이 먼 길을 가리 키지 만 실제로 언급하지 않은 것은 소스를으로 승인해야한다는 것 amazon-elb/amazon-elb-sg입니다. AWS Management Console을 통해이 작업을 수행하는 경우 소스 필드에 입력을 시작하면 실제로 자동 완성됩니다. 여러 ELB 구성을 운영하고 있으며이 보안 그룹과 모니터링 시스템의 고정 IP 주소를 통해 80 / TCP에 액세스 할 수 있습니다.

업데이트 된 요청 정보를 처리하기 위해 ELB에 도달 할 수있는 IP 주소를 제한 할 수 없습니다. 헤더를보고 페이지보기를 거부하기로 결정한 규칙을 작성하면 Apache 서버 측에서 가능할 수 있습니다. 테스트를 위해 액세스를 제한하는 방법은 포트 80 / TCP를 통해 EC2 인스턴스에 도달하고 테스트를 위해 인스턴스를 ELB에서 꺼내도록 허용 된 보안 그룹에 정적 IP를 추가하는 것입니다.


4
이 답변으로 저를 던진 것은 amazon-elb / amazon-elb-sg 라는 텍스트 로 코드로 형식화되어있어 마법의 신분이라는 것을 암시했습니다. 실제로 sg-소스 필드에 입력 하기 만하면 서로 다른 모든 보안 그룹에 대한 드롭 다운이 표시됩니다.
krock

6

아마존은 4 월에 이에 대한 지원을 발표했다.

이제 Elastic Load Balancer와 관련된 특수 보안 그룹을 사용하여 Elastic Load Balancer 뒤에있는 EC2 인스턴스가 Load Balancer에서만 트래픽을 수신하도록 구성 할 수 있습니다. 이렇게하려면 DescribeLoadBalancers API를 호출하여 SecurityGroup의 이름을 얻은 다음 EC2 인스턴스를 시작할 때 해당 그룹을 그룹 목록에 포함시킵니다. 보안 그룹의 이름은 AWSManagement Console의로드 밸런서 세부 정보 창에서도 얻을 수 있습니다.

http://aws.typepad.com/aws/2011/05/elastic-load-balancing-ipv6-zone-apex-support-additional-security.html


EC2 서버에 직접 액세스하지 않고 포트 80의로드 밸런서에 액세스 할 수있는 방법에 대한 질문에 답하지 못했습니다. 자체로드 밸런서에 대한 보안 그룹이 없습니다.
Idan Shechter

상태 확인 URL을 제외하고 사이트를 비밀번호로 보호하는 것은 어떻습니까?
Eric Hammond

관리 콘솔 UI를 통해로드 밸런서의 보안 그룹 이름을 얻으려면 어떻게해야합니까?
Idan Shechter

1

amazon-elb/amazon-elb-sg이를로드 밸런서 보안 그룹의 기본 이름으로 추가해야합니다 . 보안 그룹의 이름을 변경 한 경우 추가 amazon-elb/amazon-elb-sg가 작동하지 않습니다. 보다 일반적인 대답은로드 밸런서의 보안 그룹 ID 또는 보안 그룹 이름을 클러스터에 참여하는 모든 인스턴스의 보안 그룹에 추가하는 것입니다.


1

ELB에 대한 새 보안 그룹을 생성 한 다음 ELB 보안 그룹에서 EC2에 대한 액세스 만 허용하십시오. VPC의 보안 설정 섹션을보다 쉽게 ​​변경하십시오.

특정 IP / 범위-> ELB-> EC2 (ELB 그룹 ​​만)->

ELB를 통해 개인 액세스 할 수 있지만 서버 모니터링에 필요한 상태 확인이있는 여러 dev env가 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.