セキュリティグループのポート80を介してElastic Load Balancerを許可するにはどうすればよいですか?
外部のポート80を一時的にブロックしたいのですが、ロードバランサーがファイアウォールを(セキュリティグループ経由で)通過するようにして、インスタンスが異常であると見なされないようにします。どうやってやるの?
pdate:また、自分だけがポート80経由でElastic Load Balancerにアクセスできるようにするにはどうすればよいですか(他のユーザーのアクセスは禁止します)。ロードバランサーには、セットアップして自分のIPアドレスのみを受け入れるように指示できる特定のセキュリティグループがないことを知っていますが、それを行う他の方法はありますか?
エリックがあなたに向かって長い道のりを歩きますが、実際には述べていませんが、ソースをAmazon-elb/Amazon-elb-sgとして承認する必要があるということです。 AWSマネジメントコンソールでこれを行っている場合、ソースフィールドに入力し始めると、実際にオートコンプリートされます。私はいくつかのELB構成を運用しており、それらはすべて、このセキュリティグループと監視システムの静的IPアドレスを介して80/TCPへのアクセスを許可しています。
更新されたリクエスト情報に対処するために、ELBにヒットできるIPアドレスを制限することはできません。これは、ヘッダーを見て、ページビューを拒否する決定を下すルールを記述した場合、Apacheサーバー側で可能になる可能性があります。テストのためにアクセスを制限する私の方法は、ポート80/TCPを介してEC2インスタンスにアクセスすることを許可されたセキュリティグループに静的IPを追加し、インスタンスをELBから取り出してテストすることです。
Amazonは4月にこれに対するサポートを発表しました:
Elastic Load Balancerの背後にあるEC2インスタンスを設定して、Elastic Load Balancerに関連付けられた特別なセキュリティグループを使用して、Load Balancerからのみトラフィックを受信できるようになりました。これを行うには、DescribeLoadBalancers APIを呼び出してSecurityGroupの名前を取得し、その後いくつかのEC2インスタンスを起動するときにそのグループをグループリストに含めます。セキュリティグループの名前は、AWSManagement Consoleのロードバランサーの詳細ペインからも取得できます。
追加する必要がありますAmazon-elb/Amazon-elb-sgは、ロードバランサーセキュリティグループのデフォルト名です。セキュリティグループの名前を変更した場合は、Amazon-elb/Amazon-elb-sg 動作しないでしょう。より一般的な答えは、クラスターに参加しているすべてのインスタンスのセキュリティグループにロードバランサーのセキュリティグループIDまたはセキュリティグループ名を追加することです。
ELBの新しいセキュリティグループを作成し、ELBセキュリティグループからのEC2へのアクセスのみを許可します。これを簡単にするために、VPCセクションのセキュリティ設定を変更します。
特定のIP /範囲-> ELB-> EC2(ELBグループのみ)->
ELBを介してプライベートアクセスできる複数の開発環境がありますが、サーバーの監視に必要なヘルスチェックがあります。