在 AWS 上拒绝除 cloudwatch 之外的所有出站流量

【问题标题】:Deny all outbound traffic except cloudwatch on AWS在 AWS 上拒绝除 cloudwatch 之外的所有出站流量
【发布时间】:2015-12-02 22:00:33
【问题描述】:

我有一个服务器(Java/Tomcat 正在运行),它产生了巨大的出站流量。此服务器无法从外部访问,只有内部网络服务器可以访问。即只允许来自内部网络的入站。

为了解决巨大的出站流量,我们已通过 aws 安全组阻止了除内部网络服务器之外的所有出站流量。

但现在它也停止了将数据发送到 cloudwatch 的 aws 自定义监控脚本。

那么我需要在出站规则中打开什么 IP 范围才能将流量发送到 cloudwatch?

【问题讨论】:

  • 无论您认为该服务器是否可以从外部访问,“巨大的出站流量”都是一个巨大的危险信号,表明它已被破坏。它能够生成此类流量的事实表明它具有您不了解的外部连接。阻止出站流量并不能解决真正的问题,并且在您将其关闭并找到真正的问题之前,您的整个基础架构可能会面临巨大的安全风险。

标签: amazon-web-services amazon-cloudwatch


【解决方案1】:

新加坡地区:

如果您 p​​ing 端点,则可以找到 Cloudwatch IP monitoring.ap-southeast-1.amazonaws.com
通过任何 AWS 服务器。

对于 AWS 中的任何其他区域,请参阅下面的链接。 http://docs.aws.amazon.com/general/latest/gr/rande.html#cw_region

以上页面列出了所有 AWS 服务的端点。

【讨论】:

  • 尝试 开始 > 运行> cmd > 按回车 > 键入 telnet cloudwatchURL 以查看任何错误消息,如果 ping 不起作用,则作为 B 计划
  • 最好不要像那样解析AWS端点的IP地址。我认为端点应该是负载均衡器和the load balancer IP address might be changed。我尝试解析 CloudWatch 几次并获得了一些不同的 IP 地址。
  • @Edward Samuel - 如果使用 AWS 安全组,应该有什么替代方案? Afaik AWS 安全组只允许基于 IP 的规则 - 我们不能将端点 URL 放入其中?
猜你喜欢
  • 2020-01-13
  • 1970-01-01
  • 1970-01-01
  • 2018-01-19
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2015-09-13
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode