Обнаружение сервиса ECS Fargate

Я использую AWS ECS Fargate, в настоящее время я использую обнаружение сервисов, чтобы мои задачи могли взаимодействовать друг с другом. У меня проблема, из-за которой мои задачи могут взаимодействовать только в том случае, если я помещаю на них эту группу безопасности

resource "aws_security_group" "ecs_config_service" {
  name        = "staging-ecs-config-service"
  description = "We need this so our services can communicate"
  vpc_id      = module.vpc.vpc_id

  ingress {
    from_port = 0
    to_port   = 0
    protocol  = "-1"
    cidr_blocks = [
      "0.0.0.0/0"
    ]
  }
}

Если я удалю эту группу безопасности и разрешу трафик только от моего балансировщика нагрузки, контейнеры не смогут взаимодействовать. Это похоже на небольшую угрозу безопасности, позволяющую трафику из любого места, но я не уверен, как еще я могу позволить своим задачам общаться.

Мой кластер ECS находится в частной подсети в моем VPC.

Что-то мне не хватает в моей настройке?


amazon-web-services amazon-ecs aws-fargate aws-security-group aws-cloudmap
person pocockn    schedule 08.12.2020    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Вместо того, чтобы вносить IP-адреса в белый список, вам следует попробовать внести группы безопасности в белый список. Например, если у вас есть две отдельные службы, работающие в ECS, вы можете назначить группу безопасности A первой службе, а группу безопасности B - второй службе и создать правило в группе безопасности A, которое разрешает вход из группы безопасности B.

В качестве альтернативы вы можете по крайней мере ограничить диапазон IP-адресов блоком CIDR вашего VPC, чтобы ничто за пределами VPC не могло получить доступ к вашим услугам.

person Mark B    schedule 08.12.2020