Amazon web services 如何控制AWS网络负载均衡器的来源?
AWS中关于NLB的2个问题Amazon web services 如何控制AWS网络负载均衡器的来源?,amazon-web-services,aws-load-balancer,Amazon Web Services,Aws Load Balancer,AWS中关于NLB的2个问题 我需要在运行MYSQL的EC2前面使用NLB。此EC2位于专用网络中。我只想允许NLB被某些特定的internet IP访问。如果是ALB,我可以使用安全组来执行此操作。但是,如果NLB中没有安全组,我如何实现这一点 在这个设置中,我从PC连接到NLB并连接到MYSQL EC2。为了使它成功,我发现我必须在EC2安全组的传入规则中允许0.0.0.0/0,而不仅仅是放置我的PC IP。我认为我的PC IP应该通过NLB直接带到EC2。这不是真的吗?我不想在EC2安全
谢谢 安全组评估由网络负载平衡器的实例安全组执行。您需要将希望与NLB通信的IP地址添加到实例中,只要实例位于私有子网中,这将阻止任何客户端直接与主机交互 网络负载平衡器没有关联的安全组。因此,目标的安全组必须使用IP地址来允许来自负载平衡器的流量
文档中提供了更多信息。安全组评估由网络负载平衡器的实例安全组执行。您需要将希望与NLB通信的IP地址添加到实例中,只要实例位于私有子网中,这将阻止任何客户端直接与主机交互 网络负载平衡器没有关联的安全组。因此,目标的安全组必须使用IP地址来允许来自负载平衡器的流量
文档中提供了更多信息。在您的情况下阻止流量的唯一方法是在EC2 SG中拥有您希望允许访问的IP 但是,您需要考虑以下事实:请求来自的IP地址存在差异,因此将根据您如何配置NLB的目标组,更具体地说,根据您是否已将目标类型设置为实例或ip,因为NLB行为存在差异
- 如果目标类型设置为实例,NLB将按原样将流量传递给您的实例,EC2 SG将看到您的locap PC公共IP地址,如果有规则允许,您将能够连接
- 如果目标类型设置为ip,则NLB正在进行NAT,EC2 SG将实际将NLB的专用ip视为传入流量的源ip
有一个。在您的情况下阻止流量的唯一方法是在EC2 SG中拥有您想要允许访问的IP 但是,您需要考虑以下事实:请求来自的IP地址存在差异,因此将根据您如何配置NLB的目标组,更具体地说,根据您是否已将目标类型设置为实例或ip,因为NLB行为存在差异
- 如果目标类型设置为实例,NLB将按原样将流量传递给您的实例,EC2 SG将看到您的locap PC公共IP地址,如果有规则允许,您将能够连接
- 如果目标类型设置为ip,则NLB正在进行NAT,EC2 SG将实际将NLB的专用ip视为传入流量的源ip
有一个。谢谢大家。我最后需要将NLB内部IP和PC公共IP都列为白名单,以使白名单工作。目标类型在NLBthanks all中设置为instance。我最后需要将NLB内部IP和PC公共IP都列为白名单,以使白名单工作。目标类型在NLB中设置为实例