AWS的微服务安全性
我有一个ECS集群,我有几个服务运行。 他们都有自己的负载平衡器,所以每一个服务,我有一个像http://my-service-1234554321.eu-west-1.elb.amazonaws.com
的URL。 但是,我想只为全世界开放所有这些(f.ex. 10)服务中的一个服务,而其他所有我希望隐藏的服务只能通过HTTP从这个群集中的服务访问它们。 这是可能的吗?我该怎么做?
如果你正在遵循这些.htaccess步骤( 全部拒绝,只允许通过htaccess一个IP ),你可能会得到你需要的东西:)
如果其他服务定位为主DNS的负载均衡器,则无法正确平衡,因此请确保某些“专用”服务器不在主URL的SRVlogging中:)
弹性负载平衡器可以是internet facing
(从互联网开放的)或面向internal
的(接受来自VPC内的stream量)。
为服务创build负载平衡器时,请将该scheme指定为仅希望从群集内访问的服务的internal
scheme。 对于需要外部的服务,将其设置为internet facing
。
ECS文档讨论了在这里设置负载平衡器scheme。
请记住,负载均衡器不能同时internet facing
和internal
。 如果您决定要在以后公开Internet上的服务,那么您可能需要为此创build第二个internet facing
ELB。