AWS 公共 Web 服务器不能通过其 IP 从外部直接访问?

【问题标题】:AWS Public WebServers to NOT directly reachable from Outside by their IPs?AWS 公共 Web 服务器不能通过其 IP 从外部直接访问?
【发布时间】:2014-04-30 12:07:07
【问题描述】:

由于我完全不是网络管理员,我不知道如何设计它,甚至可能与否。我正在使用 AWS 和 EC2 实例。但现在出于一些安全原因,我被告知要使用 VPC 和私有子网。

我的知识不够好,但是-

  • 是否可以将我当前的所有公共 WEB 服务器放入专用网络?目标是防止 WEBSERVERS 直接访问公共可达性(使用他们的公共 IP),除了前面的负载均衡器。

假设我有 2 个 WEBSERVERS(负载平衡)用于站点 www.example.com

  • Web-A (202.1.2.3)
  • Web-B (202.4.5.6)

这意味着目前它们可以通过其公共 IP 访问。

  • 那么我可以让那些 IP 无法访问 从外部但仍将www.example.com 提供给公众吗? (这就是 VPC + 私有子网的用途吗?)

我很抱歉我的困惑。请问有什么建议吗?

【问题讨论】:

    标签: amazon-web-services amazon-ec2 subnet amazon-vpc


    【解决方案1】:

    是的,您所描述的是构建您的 VPC 的好方法。您的 Web 服务器可以位于通过 NAT 服务器访问 Internet 的私有子网中。来自客户端的入站连接将由负载均衡器代理,通常是 ELB。所以流程看起来像这样:

    Clients <=> Load Balancer/ELB (Public subnets) <=> Web/App Servers (Private subnets) <=> Database servers (private subnets)

    在此架构中,负载平衡器侦听端口 80 和 443 并终止 SSL 连接。负载均衡器有一个可路由的公共 IP 地址,并通过您选择的端口(可能是 8080)向 Web 服务器发送流量。Web 服务器只有私有地址,不能公开访问。

    我谦虚地提交我最近做的关于 VPC 架构的演讲。 See the slides here.

    【讨论】:

    • 您也可以拒绝对 Web 服务器安全组中的端口 80 的所有访问,负载均衡器安全组除外,这有效地限制了来自更大 Internet 的访问通过您的负载均衡器,而无需设置 VPC,以及 NAT 盒子的额外费用。如果您有办法设置和管理 VPC,仍然是推荐的方法。
    猜你喜欢
    • 2015-11-04
    • 2021-09-26
    • 1970-01-01
    • 2015-12-22
    • 2015-06-14
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode