我有一个 ec2 实例在 aws 中的弹性负载均衡器后面运行一个网站。主要是因为我想为 https 使用亚马逊新的免费 ssl。
我的挑战是,我需要在安全组中将我的 IP 地址列入白名单,以便我是唯一可以看到该网站的人(并且我可以根据需要选择性地添加人员)。
我已成功将我的 IP 地址列入白名单,而无需负载均衡器。我的挑战是将我的 IP 地址与我的 IP 地址和我的 ec2 实例之间的负载均衡器代理列入白名单。
似乎我的 ec2 实例不会向负载均衡器注册,因为我的 ec2 的安全组不允许来自除我自己的 IP 地址之外的任何 IP 地址的传入流量。
我正在寻找一种方法让我的负载均衡器能够对我的 ec2 进行健康检查,但只允许特定的白名单 ip 实际查看该网站。
如果您使用的是 VPC(您确实应该使用),那么您将有一个安全组连接到负载均衡器。这就是您将 IP 地址列入白名单的地方。EC2 服务器只需要将负载均衡器的安全组列入白名单。
你可以像这样可视化它:
您的 IP -> 安全组 1 -> 负载均衡器 -> 安全组 2 -> EC2 实例
安全组 1 验证 IP 地址是否在白名单中,并允许流量通过负载均衡器。负载均衡器将流量发送到池中的一个实例。安全组 2 验证流量是否来自属于安全组 1(负载均衡器)的设备,该设备已被列入白名单,并允许其通过 EC2 实例。
我能够通过更改 EC2 的安全组以允许来自分配给我的负载均衡器的安全组的端口 80 上的传入 http 连接来解决这个问题。
然后我的负载均衡器本身允许从任何地方通过端口 80 传入 HTTP 流量。
所以我猜这里的诀窍是,您可以允许来自 IP 或安全组的传入连接。