我们目前有一个在AWS Elastic Beanstalk上运行的API和网站,均带有负载均衡器。现在,我们正在尝试找出如何限制所有传入流量到API负载平衡器的方法,因此网站负载平衡器是访问API的唯一点。我们曾尝试与安全小组合作,但我们永远做不到。
我们已经删除了对API的所有入站访问,并且限制了所有访问,但是我们无法让网站对其进行访问。
我们的最终目标是建立一个永远无法从外部访问API,但网站可以通过HTTPS调用完全访问它的系统。
希望你们能帮助我们,在此先谢谢您!
您的网站正在EC2实例上运行,只能通过ELB进行访问。 API服务器在专用子网中运行,并且可以通过内部ELB访问。您希望您的网站访问API服务器。以下步骤可以解决您面临的问题:
将您的API负载平衡器配置为内部,因此无法从VPC进行访问。
应用以下安全组规则以使应用程序实例访问API服务器。
WebApp(EC2)SG
80/443 sg-xxxelb(外部ELB SG)
外部ELB SG
80/443 0.0.0.0/0
您的API服务器只能由WebApp实例访问。
内部(API服务器)ELB SG
443 sg-xxxec2(WebApp EC2实例的SG)。