amazon-ec2 - 是否可以将用于与 aws 负载均衡器后面的 ec2 实例进行入站通信的 ip 列入白名单？

Question

我有一个 ec2 实例在 aws 中的弹性负载均衡器后面运行一个网站。主要是因为我想使用 Amazon 新的免费 ssl for https。

我的挑战是，我需要在安全组中将我的 IP 地址列入白名单，以便我是唯一可以看到该网站的人(并且我可以根据需要有选择地添加人员)。

我在没有负载平衡器的情况下成功地将我的 IP 地址列入白名单。我的挑战是使用我的 IP 地址和我的 ec2 实例之间的负载均衡器代理将我的 IP 地址列入白名单。

似乎我的 ec2 实例不会向负载均衡器注册，因为我的 ec2 的安全组不允许来自除我自己之外的任何 IP 地址的传入流量。

我正在寻找一种方法让我的负载均衡器能够对我的 ec2 进行健康检查，但只允许特定的白名单 ip 实际看到该网站。

Answer 1

如果您使用的是 VPC(您确实应该这样做)，那么您将有一个安全组附加到负载均衡器。这就是您将 IP 地址列入白名单的地方。 EC2 服务器只需要将负载均衡器的安全组列入白名单。

你可以像这样想象它:

您的 IP -> 安全组 1 -> 负载均衡器 -> 安全组 2 -> EC2 实例

安全组 1 验证 IP 地址在白名单中，并允许流量通过负载平衡器。负载均衡器将流量发送到池中的实例之一。安全组 2 验证流量是否来自属于安全组 1(负载均衡器)的内容，该内容已列入白名单，并允许其传递到 EC2 实例。