我们目前有一个在 AWS Elastic Beanstalk 上运行的 API 和网站,两者都带有负载均衡器。现在,我们正试图弄清楚如何限制所有传入 API 负载均衡器的流量,以便网站负载均衡器是访问 API 的唯一点。我们曾尝试与安全小组合作,但我们永远无法做到正确。
我们已经删除了对 API 的所有入站访问,这限制了所有访问,但我们无法让网站访问它。
我们的最终目标是拥有一个系统,其中 API 永远无法从外部访问,但网站可以通过 HTTPS 调用完全访问它。
希望大家能帮帮我们,先谢谢了!
问问题
1152 次
1 回答
1
您的网站在 EC2 实例上运行,该实例只能通过 ELB 访问。API 服务器在私有子网中运行,可通过内部 ELB 访问。您希望您的网站能够访问 API 服务器。以下步骤应该可以解决您面临的问题:
将您的 API 负载均衡器配置为内部,因此无法从您的 VPC 访问它。
应用以下安全组规则,让应用程序实例访问 API 服务器。
WebApp (EC2) 新加坡
80/443 sg-xxxelb(外部 ELB SG)
外部 ELB SG
80/443 0.0.0.0/0
您的 API 服务器应该只能由 WebApp 实例访问。
内部(API 服务器)ELB SG
443 sg-xxxec2(WebApp EC2 实例的 SG)。
于 2019-09-30T14:05:04.207 回答