Security 如果我不'；t在我的电子商务环境中指定其安全组'；什么是入站规则？

我有一个使用弹性负载平衡器创建的AWS弹性Beanstalk环境，该环境指定默认ELB安全组（“ELB创建期间未指定安全组时使用的ELB创建的安全组”）作为入站HTTP的源

如果我将此默认ELB安全组替换为环境安全组的入站规则的源，则端口范围不会影响通信

• 还是要通过厄尔巴鄂河，是吗
• 仍然被ELB安全小组的规则过滤

---

或者流量会“跳过”ELB（或者至少它的安全组）并直接进入我的实例吗？

听起来你把网络路由的概念和防火墙规则混淆了。安全组将不会影响流量定向的位置

网络路由：

• DNS设置会将流量定向到您的ELB
• ELB配置将把它接收到的流量传送到它注册的EC2实例

安全组：

• 您的ELB和EC2实例具有分配给它们的安全组。无论网络路由规则将流量定向到哪里，防火墙都会问“我是否允许通过端口X从a.b.c.d/R发送流量？”

所以要回答你的问题：

可以，您可以更新EB环境的安全组以允许来自ELB的流量。这样做不会影响ELB将引导交通的位置

是的，如果您现有的网络路由先将流量发送到ELB，然后发送到EC2实例，则流量必须满足ELB安全组和EC2实例安全组的要求。如果实例位于专用子网中，则从外部端点启动时不能跳过ELB。如果EC2实例位于公共子网中，则如果防火墙规则允许，用户可以直接访问您的实例

---

然而，我高度怀疑你认为这里会发生一些不会发生的事情。我劝你仔细阅读网络。一个好的起点是VPC文档（）。通过场景了解每个组件的作用。

是的，如果没有混淆的话，我至少在混淆。或者，更准确地说，避免：对于给定的负载平衡环境，我采用EB默认提供的任何路由，并且不改变它（这就是为什么链接的场景对我毫无帮助）。我想我这里缺少的一点是，给定负载平衡EB环境中的默认路由，这是如何工作的？在这种情况下，似乎所有流量都通过ELB，因此我的环境SG必须有一个规则，允许从分配给ELB的SG中发送数据（我认为健康检查URL在其他情况下都不起作用）。如果这是对的，那么它似乎是对我的环境的访问。事实上，它比这更令人困惑。环境似乎是公共的，因此他们的SG需要限制为允许来自ELB SG或重复（或提供他们自己的来源限制）；但是SSH规则根本不重要。我可以在任何地方删除SSH规则（ELB SG上没有，我的EB环境的SGs上没有），并且我仍然可以通过SSH连接到我的实例。如果从安全组中删除SSH规则，您将无法通过SSH连接到实例。如果您的实例位于公共子网中，则它们可以公开访问。您的安全组需要拒绝不需要的流量。您需要分析到实例的传入路由，并评估流量是否被适当阻止。对于您最初的问题，流量不会跳过elb，除非有人通过ip地址直接访问vm。从基本EB配置开始（使用

EB clone

创建环境），如果我从安全组中删除SSH规则，我可以使用SSH。