2
У нас есть система, работающая на Beanstalk Amazon. Мы хотели бы ограничить доступ только к серверу HTTPS. Блокировка HTTP по настройкам среды - это предотвращает доступ через DNS-сервер beanstalk. Однако, если кто-то знает общедоступный IP-адрес (или имя) любого из серверов - он может обращаться к ним напрямую через HTTP. Кажется, что LB перенаправляет запросы на порт 80, поэтому мы не можем изменить группу безопасности и удалить порт 80. Есть ли простой способ ограничить доступ к HTTP только из LB? СпасибоПредотвращение доступа HTTP к серверам Эластичного бобового фонаря Amazon
Amazon использует CloudWatch для мониторинга серверов с использованием HTTP. Если мониторинг не удался - сервер завершен и запускается новый. Amazon не предоставляет диапазон IP-адресов, откуда поступают запросы CloudWatch, что означает, что мы не можем установить группу безопасности для включения только CloudWatch. Нам необходимо предоставить доступ к любому IP-адресу, который мы пытаемся предотвратить. Сами серверы не обрабатывают HTTPS (обрабатывается LB), поэтому маршрутизация всего трафика на HTTPS создаст цикл, где сервер пересылает HTTPS запросы на серверы как HTTP, а серверы отправляют их обратно. – user964797
По моему опыту, если проверка работоспособности никогда не проходила, она не будет прерывать какие-либо экземпляры сервера, чтобы попытаться снова заставить ее работать, но это, похоже, не документировано. Кроме того, вы можете получить HTTPS или простой TCP, используя строки HTTPS: 443 и TCP: 80 в качестве адреса проверки работоспособности. –