如何只允许少数IP到达AWS网络负载均衡器？

Question

我正在使用AWS Fargate运行我的任务(在公共子网中)，而面向互联网的北草坪会议大楼通过一个目标组将流量分配给所有可用的任务。我在服务中添加了一个安全组，它只允许北草坪会议大楼的IP。我们计划使用cloudflare作为这个北草坪会议大楼所有流量的反向代理。我如何白名单云照明IP，使其他人无法到达这个北草坪会议大楼？

如果使用的是网络负载均衡器，请更新目标实例的安全组，因为网络负载平衡器没有关联的安全组。

• 如果目标类型是IP，则向安全组添加一条规则，允许从负载均衡器的IP地址到目标IP地址的通信量。
• 如果目标类型是实例，则向安全组添加一条规则，允许从负载均衡器IP地址和客户端到目标IP地址的通信量。

我认为不可能在北草坪会议大楼中增加一个安全小组。参考文献：https://aws.amazon.com/premiumsupport/knowledge-center/security-group-load-balancer/

如果我将cloudflare IP添加到服务的安全组中，那么它不会阻止负载平衡器建立连接，还是将实际客户端的IP转发到这里？

Answer 1

您需要在网络负载均衡器的目标组中使用启用客户端IP保存。然后在目标的安全组中(您的ECS服务、EC2实例等)你会允许那些特定的IP。