Nano Hash - криптовалюты, майнинг, программирование

Как сделать публичный ELB приватным?

Ниже представлен эластичный балансировщик нагрузки, взятый здесь. :

 "ElasticLoadBalancer": {
            "Type": "AWS::ElasticLoadBalancing::LoadBalancer",
            "Properties": {
                "CrossZone": "false",
                "SecurityGroups": [ { "Ref": "ElbSecurityGroup" } ],
                "Listeners": [
                    {
                        "LoadBalancerPort": "80",
                        "InstancePort": "8080",
                        "Protocol": "http"
                    }

                ],
                "Instances": [ { "Ref": "EC2Instance"} ],
                "Subnets": [ { "Ref": "SubnetId"} ]
            }
        }

где ELB ведет себя как общедоступный ресурс для Jenkins (работает в EC2).

Экземпляр EC2, на котором запущен Jenkins, также находится в общедоступной подсети.

В настоящее время ELB общедоступен в Интернете.

Как сделать доступ к ELB приватным только в сети компании? Потому что ELB обычно используется как общедоступный ресурс.

amazon-web-services amazon-elb amazon-cloudformation
03.01.2020

  • измените группу безопасности, чтобы принимать трафик только с внешнего IP-адреса вашей компании. 03.01.2020
  • @Jeremy Мне нужно убедиться, что исходный IP-адрес известен заранее, чтобы попытаться связаться с ELB. Этот подход выглядит как нюхательный, не так ли? 03.01.2020
  • Что ж, вам нужно либо разрешить только те IP-адреса, которые вы хотите, либо настроить постоянный сайт для сайта VPN с вашей средой AWS. Если ваша организация не является крупной, не должно быть слишком сложно узнать, откуда идет трафик. Вы устанавливаете его один раз, и больше не нужно его трогать, поскольку схемы внешних IP-адресов меняются не очень часто. 03.01.2020
  • @Jeremy Как насчет подхода к свойству scheme, установленному на internal, как указано ниже? любые комментарии 03.01.2020
  • Я интерпретирую внутреннее в ответе ниже как внутреннее по отношению к среде AWS. в этом случае ресурсы вашей компании не смогут подключиться. 03.01.2020

Ответы:


1

Должно быть свойство scheme, вы должны иметь возможность установить значение internal

После этого вы сможете ограничить доступ к подсетям компании с помощью групп безопасности.

Ссылка:

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-elasticloadbalancingv2-loadbalancer.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-elb.html

Параметр схемы Тип балансировщика нагрузки. Действительно только для балансировщиков нагрузки в VPC.

Если Scheme подключен к Интернету, балансировщик нагрузки имеет общедоступное DNS-имя, которое разрешается в общедоступный IP-адрес.

Если Scheme является внутренним, балансировщик нагрузки имеет общедоступное DNS-имя, которое разрешается в частный IP-адрес.

Надеюсь, вы найдете этот ответ полезным.

03.01.2020
  • Что означает scheme, установленное на internal? 03.01.2020
  • У вас была возможность проверить ссылки, которые я вам дал, там четко сказано. в любом случае обновил мой ответ для вас. 03.01.2020
  • При такой конфигурации назначается ли общедоступный IP-адрес elb 03.01.2020
  • не должно, почему вы спрашиваете, это происходит 03.01.2020
  • Я протестирую это сегодня 03.01.2020
  • Я сейчас на нем, создаю стек для работы, узнаю через несколько минут 03.01.2020
  • извините, я не тестирую, я тестирую ваш другой вопрос. Вы можете проверить это. но я на 99,99% уверен, что он не будет назначать общедоступный IP-адрес, потому что в чем смысл назначать общедоступный IP-адрес внутреннему 03.01.2020
  • Но публичное DNS-имя не должно быть доступным из Интернета. Это основная цель убедиться, что ELB доступен изнутри корпоративной сети. Я не понимаю, когда в документации говорится: если схема является внутренней, балансировщик нагрузки имеет общедоступное DNS-имя. 03.01.2020
  • Если Scheme является внутренним, балансировщик нагрузки имеет общедоступное DNS-имя, которое разрешается в частный IP-адрес. Хорошо. Он будет преобразован в частный IP-адрес, но не будет доступен. Пример случая. Если разрешить, скажем, 10.1.1.1, сколько людей со всего мира используют 10.1.1.1. кто знает ? Это частный ip. Кто угодно может его использовать. 03.01.2020
    • Новые материалы
    Кластеризация: более глубокий взгляд
    Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..
    Как написать эффективное резюме
    Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..
    Частный метод Python: улучшение инкапсуляции и безопасности
    Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..
    Как я автоматизирую тестирование с помощью Jest
    Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..
    Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)
    Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..
    Понимание расстояния Вассерштейна: мощная метрика в машинном обучении
    В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..
    Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot
    В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..