aws로드 밸런서 뒤에있는 ec2 인스턴스에 인바운드 통신을위한 IP 허용 목록을 만들 수 있습니까?

Question

나는 aws에서 신축성있는로드 밸런서 뒤에있는 웹 사이트를 실행하는 ec2 인스턴스를 하나 가지고 있습니다. 주로 https에 Amazon의 새롭고 무료 SSL을 사용하기를 원하기 때문입니다.

내게는 보안 그룹에서 내 IP 주소를 허용 목록에 추가해야이 웹 사이트를 볼 수있는 유일한 사람이되고 필요에 따라 사람을 선택적으로 추가 할 수 있습니다.

부하 분산 장치없이 내 IP 주소를 허용 목록에 등록했습니다. 내 도전 과제는 내 IP 주소와 내 ec2 인스턴스 사이에로드 밸런서 프록시를 사용하여 내 IP 주소를 나열하는 흰색입니다.

내 ec2의 보안 그룹이 내 자신을 제외한 모든 IP 주소에서 들어오는 트래픽을 허용하지 않기 때문에 내 ec2 인스턴스가로드 밸런서에 등록하지 않는 것처럼 보입니다.

내로드 밸런서가 내 ec2를 검사 할 수있는 방법을 찾고 있지만 특정 허용 된 ips가 실제로 웹 사이트를 볼 수 있도록 허용합니다.

Answer 1

로드 밸런서에 연결된 보안 그룹이있는 VPC를 사용하는 경우 (실제로 있어야 함) 여기서 IP 주소를 허용합니다. EC2 서버는 Load Balancer의 보안 그룹을 허용 목록에 추가하기 만하면됩니다.

당신이처럼 시각화 할 수 있습니다 :

당신의 IP가 -> 보안 그룹 1 ->로드 밸런서 -> 보안 그룹 2 -> EC2 인스턴스 (들)

보안 그룹 1은 IP 주소가 확인 로드 밸런서로 트래픽을 허용합니다. Load Balancer는 풀에있는 인스턴스 중 하나에 트래픽을 전송합니다. 보안 그룹 2는 트래픽이 허용 목록에 포함 된 보안 그룹 1 (로드 밸런서)에 속한 것으로부터 트래픽이 발생하고 EC2 인스턴스로 전달되도록 허용하는지 확인합니다.

Answer 2

로드 밸런서에 할당 된 보안 그룹의 포트 80에서 수신 HTTP 연결을 허용하도록 EC2의 보안 그룹을 변경하여이 문제를 해결할 수있었습니다.

내로드 밸런서 자체는 포트 80에서 들어오는 HTTP 트래픽을 어디에서나 허용합니다.

그래서 트릭은 IP 또는 보안 그룹에서 들어오는 연결을 허용 할 수 있다고 생각합니다.