Группа безопасности AWS ALB разрешает подключение только с моих серверов
Я использую AWS ALB (Application Load Balancer) с интенет-сетью с кластером ECS (докер) и хочу использовать его для пересылки веб-стандарта и внутреннего трафика веб-сервисов.
Балансировщик нагрузки приложения имеет прослушиватель для порта 443, он используется для стандартных веб-соединений https, работает хорошо (я могу подключиться через браузер).
Я хочу использовать другой приемник в другом порту (например, 10443) для своих внутренних микросервисов, только мои серверы должны иметь возможность подключаться к этим серверам. Я создал и настроил ALB слушатель и правила. У меня есть 2 группы безопасности:
- ServersSG: Где мои кластерные серверы ECS. Это позволяет входящий трафик (все порты) от lbSG. Разрешить весь исходящий трафик.
- lbSG: группа безопасности балансировщика нагрузки. Он разрешает входящий трафик отовсюду через порт 443. Он разрешает входящий трафик отServersSG через порт 10443 и разрешает весь исходящий трафик.
При такой конфигурации мои серверы не могут подключиться к порту 10443 на балансировщике нагрузки.
Единственный способ для подключения - разрешить подключение отовсюду на lbSG для порта 10443, но это плохая практика безопасности.
Я не использую сервисное обнаружение, потому что я должен использовать другой сервис DNS (не Route53).
1 ответ
Для общедоступного балансировщика нагрузки (один в общедоступной подсети) ваши экземпляры в вашей частной подсети будут проходить через шлюз NAT к общедоступной стороне балансировщика нагрузки. Это означает, что вашей группе безопасности необходимо использовать IP-адрес (EIP) шлюза NAT.