如何控制AWS网络负载均衡器的来源？

Question

AWS中关于北草坪会议大楼的两个问题

1. 我需要在运行MYSQL的EC2前面使用北草坪会议大楼。此EC2位于专用网络中。我只想让北草坪会议大楼被某个特定的互联网IP访问。如果是ALB，我可以用安全组来做这件事。然而，如果没有北草坪会议大楼的安全组，我如何才能做到这一点？
2. 在这个设置中，我从我的PC连接到北草坪会议大楼，并到达MYSQL EC2。为了使它成功，我发现我必须在EC2安全组的传入规则中允许0.0.0.0/0，而不是仅仅将我的PC IP。我认为我的个人电脑IP应该直接通过北草坪会议大楼带到EC2。这不是真的吗？我不希望在EC2安全组中允许0.0.0.0/0。还有更好的办法吗？

谢谢!

Answer 1

安全组评估由网络负载均衡器的实例安全组执行。您需要将要与北草坪会议大楼通信的IP地址添加到实例中，只要您的实例位于私有子网中，这将防止任何客户机直接与主机交互。

网络负载平衡器没有关联的安全组。因此，目标的安全组必须使用IP地址来允许负载均衡器的通信量。

更多信息可在向目标组注册目标文档中获得。

Answer 2

在您的情况下，阻止通信量的唯一方法是在EC2 SG中拥有您希望允许访问的IP。

但是，您需要考虑到以下事实:来自请求的IP地址存在差异，因此将由EC2 SG根据如何配置北草坪会议大楼的目标组，更具体地根据是否将目标类型设置为实例或ip进行评估，因为北草坪会议大楼的行为存在差异。

• 如果目标类型设置为实例，则北草坪会议大楼将按原样将流量传递给您的实例，EC2 SG将看到您的locap PC公共IP地址，如果有允许它的规则，则可以进行连接。
• 如果目标类型设置为 IP ，则北草坪会议大楼正在执行NAT操作，EC2 SG将实际将北草坪会议大楼的私有IP作为传入通信量的源IP。

看看北草坪会议大楼目标组文件中的源IP保存。

有一个在这个问题上的类似讨论。