除非允许所有通信量,否则无法访问Aws应用程序负载均衡器
除非允许所有通信量,否则无法访问Aws应用程序负载均衡器
提问于 2021-08-02 21:20:18
我有这样的安排。
- 应用程序负载均衡器(面向互联网) LB1,输入53号公路作为loadbalancer1.com
- LB1在安全组sg1中,它具有接受所有Https请求的入站规则。
- LB1有一个目标组,它有一个属于安全组sg2的EC2实例instance1。
- sg2有入站规则,它指定只能来自sg1的通信量。
- 我在Security sg3中有另一个instance2实例。此实例希望访问instance1。它通过调用负载均衡器loadbalancer1.com(端口443 i.ehttps)来实现这一点。
这个装置起作用了。现在我想做个改进。因为loadbalancer1.com只能从instance2访问。我希望更改安全组sg1的入站规则,使其仅接受来自安全组sg3的通信量。如果我这样做,loadbalancer1.com就无法从instance2获得。
知道为什么吗?
回答 1
Stack Overflow用户
回答已采纳
发布于 2021-08-02 21:34:58
这是个很好的问题。TL;DR:它只适用于不离开VPC的内部通信。
下面是更详细的情况:
当instance2访问面向互联网的负载均衡器时,流量首先离开您的VPC并进入公共互联网。然后,业务通过一些网络路由到达ELB,并将业务转发到instance1。
当流量离开AWS VPC并重新进入它时,与流量相关的源SG元数据就“消失”了。从电子束的SG角度来看,它只知道流量来源于instance2的公共IP地址。
根据安全组规则文档:
当将安全组指定为规则的源或目标时,规则会影响与安全组关联的所有实例。基于与源安全组关联的实例的私有IP地址(而不是公共IP或弹性IP地址),允许传入通信量。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/68628036
复制相关文章
相似问题
腾讯云开发者
