#amazon-web-services #security #amazon-ec2 #port #amazon-alb
#amazon-веб-службы #Безопасность #amazon-ec2 #порт #amazon-alb
Вопрос:
Я создал экземпляр EC2 с установленным на нем apache и разрешил HTTP / SSH трафик только для моей системы. Я смог получить доступ к веб-странице, используя общедоступный IP EC2. Затем я настроил ALB с тем же SG, зарегистрировал тот же экземпляр EC2 в ALB. Пытался получить доступ к веб-странице, используя DNS-имя ALB, получил ошибку — время ожидания шлюза 504.
Увеличенный интервал ожидания, чтобы проверить, устраняет ли это проблему, не сработал. Затем я вернулся к уроку и подумал, что давайте разрешим HTTP-трафик всем (поскольку это было разрешено на лекции) в SG, чтобы посмотреть, работает ли это, и ДА, это сработало. Я снова изменил SG, чтобы разрешить трафик только для моей системы, и снова произошел сбой.
Комментарии:
1. Кажется, у меня похожая проблема, но с ELB classic. Мои решения следующие: воссоздайте новый экземпляр и добавьте его в балансировщик. Проверьте время ожидания параметров балансировщика и убедитесь, что оно меньше, чем параметр keep-alive на сервере приложений экземпляра. Случай, описанный в документации AWS.
Ответ №1:
В этой конфигурации ваша группа безопасности должна разрешать трафик от самой себя — создайте правила, разрешающие соответствующие порты, но используйте группу безопасности sg-xxxx вместо IP-адреса в качестве источника. Простое членство в одной группе безопасности не позволяет двум системам взаимодействовать друг с другом.
Лучшей конфигурацией было бы, если бы у балансировщика была своя собственная группа безопасности, а группа вашего экземпляра разрешала бы трафик из группы балансировщика.
Также обратите внимание, что при неправильной конфигурации группы безопасности вы также должны обнаружить, что проверки работоспособности балансировщика завершаются сбоем.