Security 如果我不';t在我的电子商务环境中指定其安全组';什么是入站规则?
我有一个使用弹性负载平衡器创建的AWS弹性Beanstalk环境,该环境指定默认ELB安全组(“ELB创建期间未指定安全组时使用的ELB创建的安全组”)作为入站HTTP的源 如果我将此默认ELB安全组替换为环境安全组的入站规则的源,则端口范围不会影响通信Security 如果我不';t在我的电子商务环境中指定其安全组';什么是入站规则?,security,amazon-web-services,amazon-ec2,amazon-elastic-beanstalk,amazon-elb,Security,Amazon Web Services,Amazon Ec2,Amazon Elastic Beanstalk,Amazon Elb,我有一个使用弹性负载平衡器创建的AWS弹性Beanstalk环境,该环境指定默认ELB安全组(“ELB创建期间未指定安全组时使用的ELB创建的安全组”)作为入站HTTP的源 如果我将此默认ELB安全组替换为环境安全组的入站规则的源,则端口范围不会影响通信 还是要通过厄尔巴鄂河,是吗 仍然被ELB安全小组的规则过滤 或者流量会“跳过”ELB(或者至少它的安全组)并直接进入我的实例吗?听起来你把网络路由的概念和防火墙规则混淆了。安全组将不会影响流量定向的位置 网络路由: DNS设置会将流量定向
- 还是要通过厄尔巴鄂河,是吗
- 仍然被ELB安全小组的规则过滤
或者流量会“跳过”ELB(或者至少它的安全组)并直接进入我的实例吗?听起来你把网络路由的概念和防火墙规则混淆了。安全组将不会影响流量定向的位置 网络路由:
- DNS设置会将流量定向到您的ELB
- ELB配置将把它接收到的流量传送到它注册的EC2实例
- 您的ELB和EC2实例具有分配给它们的安全组。无论网络路由规则将流量定向到哪里,防火墙都会问“我是否允许通过端口X从a.b.c.d/R发送流量?”
然而,我高度怀疑你认为这里会发生一些不会发生的事情。我劝你仔细阅读网络。一个好的起点是VPC文档()。通过场景了解每个组件的作用。是的,如果没有混淆的话,我至少在混淆。或者,更准确地说,避免:对于给定的负载平衡环境,我采用EB默认提供的任何路由,并且不改变它(这就是为什么链接的场景对我毫无帮助)。我想我这里缺少的一点是,给定负载平衡EB环境中的默认路由,这是如何工作的?在这种情况下,似乎所有流量都通过ELB,因此我的环境SG必须有一个规则,允许从分配给ELB的SG中发送数据(我认为健康检查URL在其他情况下都不起作用)。如果这是对的,那么它似乎是对我的环境的访问。事实上,它比这更令人困惑。环境似乎是公共的,因此他们的SG需要限制为允许来自ELB SG或重复(或提供他们自己的来源限制);但是SSH规则根本不重要。我可以在任何地方删除SSH规则(ELB SG上没有,我的EB环境的SGs上没有),并且我仍然可以通过SSH连接到我的实例。如果从安全组中删除SSH规则,您将无法通过SSH连接到实例。如果您的实例位于公共子网中,则它们可以公开访问。您的安全组需要拒绝不需要的流量。您需要分析到实例的传入路由,并评估流量是否被适当阻止。对于您最初的问题,流量不会跳过elb,除非有人通过ip地址直接访问vm。从基本EB配置开始(使用
EB clone
创建环境),如果我从安全组中删除SSH规则,我可以使用SSH。