Группа безопасности AWS ALB разрешает подключение только с моих серверов

Я использую AWS ALB (Application Load Balancer) с интенет-сетью с кластером ECS (докер) и хочу использовать его для пересылки веб-стандарта и внутреннего трафика веб-сервисов.

Балансировщик нагрузки приложения имеет прослушиватель для порта 443, он используется для стандартных веб-соединений https, работает хорошо (я могу подключиться через браузер).

Я хочу использовать другой приемник в другом порту (например, 10443) для своих внутренних микросервисов, только мои серверы должны иметь возможность подключаться к этим серверам. Я создал и настроил ALB слушатель и правила. У меня есть 2 группы безопасности:

  • ServersSG: Где мои кластерные серверы ECS. Это позволяет входящий трафик (все порты) от lbSG. Разрешить весь исходящий трафик.
  • lbSG: группа безопасности балансировщика нагрузки. Он разрешает входящий трафик отовсюду через порт 443. Он разрешает входящий трафик отServersSG через порт 10443 и разрешает весь исходящий трафик.

При такой конфигурации мои серверы не могут подключиться к порту 10443 на балансировщике нагрузки.

Единственный способ для подключения - разрешить подключение отовсюду на lbSG для порта 10443, но это плохая практика безопасности.

Я не использую сервисное обнаружение, потому что я должен использовать другой сервис DNS (не Route53).

1 ответ

Для общедоступного балансировщика нагрузки (один в общедоступной подсети) ваши экземпляры в вашей частной подсети будут проходить через шлюз NAT к общедоступной стороне балансировщика нагрузки. Это означает, что вашей группе безопасности необходимо использовать IP-адрес (EIP) шлюза NAT.

Другие вопросы по тегам