我正在尝试配置对我的 EB 环境的访问,并希望将 HTTP 访问(通过 ELB)限制为某些 IP 地址。
我有一个开箱即用的 EB 应用程序(实际上是一堆,每个都有几个环境),并且希望能够 (a) 限制对特定 IP 集的访问,同时 (b) 让所有流量都通过 ELB。至关重要的是,我想通过 (c) 创建几个组(例如,允许我的 IP 的管理员 SG,允许团队 IP 的开发 SG,以及允许所有 IP 的公共(public) SG)并应用组来做到这一点根据每个 EB 环境的需要(通常是不同环境的不同组合),而不必在团队成员的 IP 更改或团队成员更改时更新每个环境中的源。我想在不深入研究网络结构的情况下执行此操作,而只使用默认的 EB 结构。
默认的 ELB 安全组允许从所有 IP 进行访问,并且不应该被编辑(“修改可能会影响 future ELB 的流量”),所以我似乎(天真地)可以采取三种方法:
但是(1)似乎要求我还指定新的 SG,而不是默认的 ELB SG,作为我每个环境中的源,并且(2)似乎要求我将新的 SG 分配给环境的 ELB;虽然在 (3) whether traffic goes through or is filtered by the ELB at all 中不清楚.
对于我的目的(至少在理论上)来说,理想的解决方案是拥有少量的安全组来控制 Web 访问(例如,一个用于将特定 IP 列为来源的管理员用户,另一个用于列出更广泛 IP 的测试人员,另一个用于公共(public)访问),并酌情将这些分配给环境(作为其 SG 规则的来源)。但是这种方法(基本上是上面的 2)似乎要求我还将组分配给每个环境的 ELB(即我需要结合 1 和 2)。 (这不会那么尴尬,除非克隆环境似乎是 always have default rules 对于他们的 SG 并且默认他们的 ELB 的默认 SG。)
所有这些似乎都太麻烦了,表明我缺少一些更简单的方法。我应该如何限制我的 Elastic Beanstalk 环境的负载平衡 Web 流量?
最佳答案
听起来您想在 VPC 中启动您的环境,以便 VPC 控制访问。
但是,如果您仍然只想使用安全组:
1,但将其分配给 Beanstalk 环境,而不是 ELB。
您可以告诉 Elastic Beanstalk 环境使用现有的安全组。 EB 仍将创建默认安全组,但它还将使用您创建的安全组。
您可以在控制台中编辑它:环境 -> 配置 -> 实例。
但请确保将您的安全组添加到逗号分隔列表中。不要删除已经存在的那个。
关于security - 我应该如何限制我的 Elastic Beanstalk 环境的负载平衡 Web 流量?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28459626/