Sicherheitsgruppe ermöglicht Verkehr von selbst

Question

Ich habe einen Webserver in einem VPC, die gelegentlich locken werden verwenden, um eine Ressource von selbst zu erhalten oder per Post, einen der Domänen mit zu diesen server verbunden. Ich habe eine restriktive Sicherheitsgruppe zu diesem Server zugewiesen, da ich nur traffic von spezifischen IPBereiche zulassen möchten. Außerdem habe ich die Sicherheitsgruppe selbst als Quelle für eingehende traffic hinzugefügt, um mit den Curl-Anrufen umzugehen.

Leider funktioniert das nicht. Die Verbindung Timeout. Mit wget von Kommandozeile auf der Server-IP oder einer der Domänen geht auch Timeout. Die einzige Möglichkeit, dies zu beheben, besteht darin, den Datenverkehr von "0.0.0.0/0" in der Sicherheitsgruppe zuzulassen, was ich nicht tun möchte.

Als Workaround habe ich '127.0.0.1' Einträge für jede domain Datei zu der hosts Datei hinzugefügt, aber das ist keine langfristige Lösung für mich.

Ist irgendeine Hilfe zu reparieren?

Answer 1

Der Datenverkehr läuft grundsätzlich ins Internet und zurück, was bedeutet, dass er die VPC verlässt, so dass er nicht mehr als aus der Sicherheitsgruppe kommend identifiziert wird. Um Datenverkehr von einer Sicherheitsgruppe zuzulassen, muss dieser Datenverkehr an die private IP-Adresse und nicht an die öffentliche IP-Adresse oder den Domänennamen gesendet werden.

Eine Möglichkeit, dies zu tun, ist hosts Dateieinträge hinzufügen, wie Sie getan haben. Sie können auch eine private gehostete Zone in Route53 erstellen und sie der VPC zuweisen und dann bestimmte DNS-Einträge in Ihrer VPC überschreiben, um sie an die private IP-Adresse weiterzuleiten.