सुरक्षा समूहों में पोर्ट 80 के माध्यम से लोचदार भार बैलेंसर की अनुमति कैसे दें?


18

मैं बाहरी दुनिया के लिए पोर्ट 80 को अस्थायी रूप से ब्लॉक करना चाहता हूं, लेकिन लोड बैलेंसर को फ़ायरवॉल (सुरक्षा समूह के माध्यम से) से गुजरना चाहता हूं ताकि यह अस्वास्थ्यकर के रूप में नहीं दिखाई देगा। मैं उसे कैसे कर सकता हूँ?

अपडेट: मैं यह भी जानना चाहता हूं कि मैं पोर्ट 80 के माध्यम से केवल खुद को लोचदार भार बैलेंसर तक पहुंचने की अनुमति कैसे दे सकता हूं (लेकिन दूसरों की पहुंच को रोक सकता हूं)। मुझे पता है कि लोड बैलेंसर के पास विशिष्ट सुरक्षा समूह नहीं हैं जो मैं सेटअप कर सकता हूं और इसे केवल मेरे आईपी पते को स्वीकार करने के लिए कह सकता हूं, लेकिन क्या ऐसा करने का कोई अन्य तरीका है?

जवाबों:


17

एरिक आपको किस ओर इशारा करने के लिए लंबा रास्ता तय करता है लेकिन वास्तव में राज्य नहीं है कि आपको स्रोत के रूप में अधिकृत करने की आवश्यकता है amazon-elb/amazon-elb-sg। यदि आप AWS प्रबंधन कंसोल के माध्यम से ऐसा कर रहे हैं, तो जब आप इसे स्रोत फ़ील्ड में लिखना शुरू करेंगे तो यह वास्तव में स्वतः पूर्ण हो जाएगा। मैं कई ईएलबी कॉन्फ़िगरेशन संचालित करता हूं और वे सभी इस सुरक्षा समूह और मेरी निगरानी प्रणालियों के स्थिर आईपी पते के माध्यम से 80 / टीसीपी तक पहुंच की अनुमति देते हैं।

अद्यतन अनुरोध जानकारी को संबोधित करने के लिए, आप प्रतिबंधित नहीं कर सकते कि आईपी पते ईएलबी को क्या मार सकते हैं। यह अपाचे सर्वर साइड पर संभव हो सकता है यदि आप हेडर को देखने वाले नियमों को लिखते हैं और पृष्ठ दृश्य को अस्वीकार करने के लिए निर्णय लेते हैं। परीक्षण के लिए पहुंच को प्रतिबंधित करने का मेरा तरीका मेरे स्थिर आईपी को पोर्ट 80 / टीसीपी के माध्यम से ईसी 2 उदाहरण को हिट करने की अनुमति देने वाले सुरक्षा समूह में जोड़ देता है और परीक्षण के लिए ईएलबी से केवल उदाहरण निकालता है।


4
इस जवाब के साथ मुझे जो चीज फेंकनी पड़ी , वह था अमेजन-एल्ब / amazon-elb-sg को कोड के रूप में स्वरूपित किया गया था जिसका अर्थ था कि कुछ मैजिक aws id था। वास्तव में आपको बस इतना करना है sg-कि स्रोत क्षेत्र में टाइप करें और आपको सभी अलग-अलग सुरक्षा समूहों के लिए ड्रॉपडाउन मिलता है।
5

6

अमेज़न ने अप्रैल में इसके लिए समर्थन की घोषणा की:

अब आप लोचदार भार Balancer से जुड़े एक विशेष सुरक्षा समूह का उपयोग करके केवल लोड Balancer से ट्रैफ़िक प्राप्त करने के लिए Elastic Load Balancer के पीछे बैठे EC2 इंस्टेंस को कॉन्फ़िगर कर सकते हैं। ऐसा करने के लिए, जब आप बाद में कुछ EC2 इंस्टेंसेस लॉन्च करते हैं, तो आप समूह में सूची में SecurityGroup, और तब शामिल समूह का नाम पाने के लिए DescribeLoadBalancers API को कॉल करते हैं। सुरक्षा समूह का नाम AWSManagement कंसोल में लोड बैलेंसर विवरण फलक से भी प्राप्त किया जा सकता है।

http://aws.typepad.com/aws/2011/05/elastic-load-balancing-ipv6-zone-apex-support-additional-security.html


यह इस सवाल का जवाब नहीं देता है कि मैं केवल पोर्ट 80 के लिए लोड बैलेंसर तक पहुंचने की अनुमति कैसे दे सकता हूं, न कि मुझे सीधे ईसी 2 सर्वर तक पहुंचने की अनुमति है। लोड बैलेंसर के लिए कोई भी सुरक्षा समूह नहीं है।
इदं शचर

स्वास्थ्य जांच URL के अलावा साइट की सुरक्षा करने वाले सिर्फ पासवर्ड के बारे में कैसे?
एरिक हैमोंड

मैं प्रबंधन कंसोल UI के माध्यम से लोड बैलेंसर के सुरक्षा समूह का नाम कैसे प्राप्त कर सकता हूं?
इदं शेट्टर

1

मुझे यह जोड़ना चाहिए कि amazon-elb/amazon-elb-sgलोड बैलेंसर सुरक्षा समूह का डिफ़ॉल्ट नाम है। यदि आपने सुरक्षा समूह का नाम बदल दिया है तो जोड़ने amazon-elb/amazon-elb-sgसे काम नहीं चलेगा। क्लस्टर में भाग लेने वाले सभी उदाहरणों के सुरक्षा समूह में सुरक्षा समूह आईडी या लोड बैलेंसर के सुरक्षा समूह का नाम जोड़ने के लिए एक अधिक सामान्य उत्तर है।


1

ईएलबी के लिए एक नया सुरक्षा समूह बनाएं, फिर केवल ईएलबी सुरक्षा समूह से ईसी 2 तक पहुंच की अनुमति दें। ऐसा करने के लिए VPC अनुभाग में सुरक्षा सेटिंग्स बदलें।

Specfic IP / Range -> ELB -> EC2 (केवल ELB Group) ->

मेरे पास कई देव एनवी हैं, जिनके पास ईएलबी के माध्यम से निजी पहुंच है, लेकिन ऐसे स्वास्थ्यवर्धक हैं जो सर्वर मोनिरोइंग के लिए आवश्यक हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.