Como permitir o balanceador de carga elástico através da porta 80 em grupos de segurança?

18

Desejo bloquear temporariamente a porta 80 para o mundo externo, mas quero que o balanceador de carga passe pelo firewall (via grupo de segurança) para que não considere a instância como não íntegra. Como eu posso fazer isso?

Atualização: também quero saber como posso me permitir acessar apenas o balanceador de carga elástico pela porta 80 (mas impedir o acesso de outras pessoas). Sei que o balanceador de carga não possui grupos de segurança específicos que eu possa configurar e que ele aceite apenas meu endereço IP, mas existe outra maneira de fazer isso?

amazon-ec2 load-balancing amazon-web-services scaling Idan Shechter
fonte

Respostas:

17

O que Eric faz o longo caminho para apontá-lo, mas na verdade não afirma, é que você precisa autorizar a fonte como a amazon-elb/amazon-elb-sg. Se você estiver fazendo isso por meio do AWS Management Console, ele será concluído automaticamente quando você começar a digitar no campo de origem. Eu opero várias configurações ELB e todas permitem acesso ao 80 / TCP por meio desse grupo de segurança e dos endereços IP estáticos dos meus sistemas de monitoramento.

Para endereçar as informações atualizadas da solicitação, não é possível restringir quais endereços IP podem atingir o ELB. Isso pode ser possível no servidor Apache, se você escrever regras que examinem os cabeçalhos e tomar decisões para rejeitar a exibição da página. Minha maneira de restringir o acesso para teste é adicionar meu IP estático ao grupo de segurança permitido para atingir a instância do EC2 via porta 80 / TCP e simplesmente retirar a instância do ELB para teste.

Jeremy Bouse
fonte
4
O que me impressionou com essa resposta foi o texto amazon-elb / amazon-elb-sg formatado como código, o que implicava que havia algum código de aws mágico. Na realidade, tudo o que você precisa fazer é digitar sg-no campo de origem e obter uma lista suspensa para todos os diferentes grupos de segurança.
krock
6

A Amazon anunciou suporte para isso em abril:

Agora você pode configurar instâncias do EC2 atrás de um Elastic Load Balancer para receber tráfego apenas do Load Balancer usando um Grupo de Segurança especial associado ao Elastic Load Balancer. Para fazer isso, chame a API DescribeLoadBalancers para obter o nome do SecurityGroup e inclua esse grupo na lista de grupos ao iniciar algumas instâncias do EC2 posteriormente. O nome do grupo de segurança também pode ser obtido no painel de detalhes do balanceador de carga no AWSManagement Console.

http://aws.typepad.com/aws/2011/05/elastic-load-balancing-ipv6-zone-apex-support-additional-security.html

Eric Hammond
fonte
Ele não respondeu à pergunta: como posso me permitir acessar apenas o balanceador de carga da porta 80, não eu acessando o servidor EC2 diretamente. Não há nenhum grupo de segurança para o balanceador de carga.
Idan Shechter
Que tal apenas proteger o site com senha, exceto o URL da verificação de integridade?
Eric Hammond
Como posso obter o nome do grupo de segurança do balanceador de carga por meio da interface do usuário do console de gerenciamento?
Idan Shechter
1

Devo acrescentar que amazon-elb/amazon-elb-sgé o nome padrão do grupo de segurança do balanceador de carga. Se você alterou o nome do grupo de segurança, a adição amazon-elb/amazon-elb-sgnão funcionará. Uma resposta mais genérica é adicionar o ID do grupo de segurança ou o nome do grupo de segurança do balanceador de carga ao grupo de segurança de todas as instâncias participantes do cluster.


fonte
1

Crie um novo grupo de segurança para o ELB e permita apenas o acesso ao EC2 a partir do grupo de segurança do ELB. Altere as configurações de segurança na seção VPC para facilitar isso.

IP / Faixa Específicos -> ELB -> EC2 (Apenas Grupo ELB) ->

Eu tenho vários env dev que têm acesso privado via ELB, mas possuem verificações de integridade necessárias para a monitoração do servidor.

user1573604
fonte