Пропустит ли трафик мой AWS ELB, если я не укажу его группу безопасности в правилах входящего трафика моей среды EB?

У меня есть среда AWS Elastic Beanstalk, созданная с помощью Elastic Load Balancer и указывающая группу безопасности ELB по умолчанию («Группа безопасности, созданная ELB, используемая, когда группа безопасности не указана во время создания ELB») в качестве источника для входящего HTTP.

Если я заменю эту группу безопасности ELB по умолчанию в качестве источника для входящих правил группы безопасности моей среды диапазоном портов,

  • все еще приходят через ELB и это
  • по-прежнему фильтруется по правилам группы безопасности ELB

или тогда трафик «пропускает» ELB (или, по крайней мере, его группу безопасности) и поступает прямо на мои экземпляры?


amazon-web-services amazon-ec2 security amazon-elb amazon-elastic-beanstalk
person orome    schedule 11.02.2015    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Похоже, вы путаете концепцию сетевой маршрутизации с правилами брандмауэра. Группы безопасности не влияют на направление трафика.

Сетевая маршрутизация:

  • Настройки DNS будут направлять трафик на ваш ELB.
  • Конфигурация ELB будет направлять трафик, который она получает, на зарегистрированные в ней инстансы EC2.

Группы безопасности:

  • Для ваших экземпляров ELB и EC2 назначены группы безопасности. Независимо от того, какие правила сетевой маршрутизации направляют туда трафик, брандмауэр задаст вопрос «Разрешить ли трафик с a.b.c.d/R через порт X?»

Итак, чтобы ответить на ваш вопрос:

Да, вы можете обновить группу безопасности вашей среды EB, чтобы разрешить трафик с ELB. Это не повлияет на то, куда этот ELB будет направлять трафик.

Да, если используемая вами сетевая маршрутизация отправляет трафик сначала на ELB, а затем на экземпляр EC2, трафик должен соответствовать требованиям группы безопасности ELB и группы безопасности экземпляра EC2. Если ваши экземпляры находятся в частной подсети, ELB нельзя пропустить при запуске из внешней конечной точки. Если экземпляры EC2 находятся в общедоступной подсети, пользователь может получить прямой доступ к вашему экземпляру, если это разрешено правилами вашего брандмауэра.

Однако я очень подозреваю, что вы думаете, что здесь произойдет что-то, чего не будет. Я призываю вас читать сети. Хорошей отправной точкой будет документация VPC (http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenarios.html). Проработайте сценарии, чтобы понять роль каждого компонента.

person scubadev    schedule 11.02.2015
comment
Да я как минимум совмещаю, если не путаю. Или, точнее, избегание: я принимаю любую маршрутизацию, предоставляемую EB по умолчанию для сред с балансировкой нагрузки, как данность, и не меняю ее (поэтому связанные сценарии были для меня довольно бесполезны). - person orome; 11.02.2015
comment
Я думаю, что здесь мне не хватает одной части: учитывая маршрутизацию по умолчанию в среде EB с балансировкой нагрузки, как это работает? Кажется, что в этом случае весь трафик проходит через ELB, так что моя среда SG должна иметь правило, разрешающее из SG, назначенной ELB (я не думаю, что URL-адреса проверки работоспособности даже работают в противном случае ). Если это так, то кажется, что правила в SG, назначенные ELB, являются подходящим местом для фильтрации доступа к моим средам . - person orome; 11.02.2015
comment
На самом деле, это более запутанно, чем это. Кажется, что среды являются общедоступными, поэтому их SG нужно либо ограничивать до разрешения из ELB SG, либо повторять (или предоставлять свои собственные ограничения на источники); но правила SSH вообще не имеют значения. Я могу удалить правила SSH везде (ни в SG ELB, ни в SG моей среды EB), и я по-прежнему могу использовать SSH для своих инстансов. - person orome; 11.02.2015
comment
Если вы удалите правила ssh из своей группы безопасности, вы не сможете подключиться к экземпляру по ssh. Если ваши экземпляры находятся в общедоступной подсети, они могут быть общедоступны. Ваша группа безопасности должна запретить нежелательный трафик. Вам нужно будет проанализировать входящие маршруты к вашему экземпляру и оценить, правильно ли заблокирован трафик. На ваш первоначальный вопрос трафик не пропускает elb, если кто-то напрямую не обращается к виртуальной машине по IP-адресу. - person scubadev; 12.02.2015
comment
Начиная с базовой конфигурации EB (с использованием eb clone для создания среды), если я удалю правило SSH из своей группы безопасности, я смогу использовать SSH. - person orome; 12.02.2015
comment
Я думаю, что большая часть путаницы (от меня) связана с уровнями абстракции (и тем, как с этим справляется документация). Я перехожу на AWS с нулевым пониманием сетевых технологий (и не хочу с этим связываться), но я хочу воспользоваться преимуществами (разрекламированных) функций EB, упрощением создания приложений и брандмауэрами. Так что единственное, к чему я прикасаюсь (или смотрю) — это SG. Но очевидно, что за кулисами происходят вещи, которые необходимо объяснить, поэтому, если где-то есть простая карта того, куда идет трафик в среде EB по умолчанию с использованием ELB, я думаю, это помогло бы прояснить ситуацию. - person orome; 12.02.2015
comment
Однако, преодолев все это (и отложив в сторону странное поведение SSH), кажется, что единственный надежный способ получить контроль над веб-трафиком через ELB для экземпляров моей среды EB — это (1) создать новый SG с ограничениями, которые я хочу (2) назначьте это ELB (вместо SG по умолчанию) и (3) укажите его как единственный источник для HTTP в моей SG EB. Насколько я могу судить, после этого все работает (хотя я не уверен и немного расстроен, поскольку ничего не клонирует, когда я клонирую среду). - person orome; 12.02.2015