如何保护亚马逊网络服务EC2托管的MEAN堆栈应用程序的后端资源不被公众访问

Question

我正在一个AWS实例上部署一个MEAN stack应用程序，每个组件(前端(NGINX)，服务器(Express)，数据库(MongoDB) )使用三个独立的EC2容器。一切正常，但我需要打开每个组件的端口到特定用户的IP地址。因为我不知道每个用户的IP和IP可能会改变，所以我需要在实例的安全组中将所有内容都设置为公共访问，这显然是不好的做法，特别是对于数据库。我的方法是将前端设置为public，并将其他组件设置为只能通过前端访问，但到目前为止，这并不起作用。

有没有办法在只有前端端口可公开访问的情况下托管MEAN堆栈应用程序？或者你知道如何保护你的后端资源不被公众访问的任何其他实践吗？

提前感谢！

Answer 1

，但我需要将每个组件的端口打开到特定用户的IP地址

创建一个运行SSH的bastion host，允许从互联网访问该主机，并允许从该主机访问后端服务器。