Як дозволити еластичному балансиру навантаження через порт 80 в групах безпеки?

Я хочу тимчасово заблокувати порт 80 для зовнішнього світу, але хочу, щоб балансир навантажень пройшов через брандмауер (через групу безпеки), щоб він не бачив екземпляр як нездоровий. Як я можу це зробити?

Оновлення: Я також хочу знати, як я можу дозволити лише доступу до еластичного балансира навантаження через порт 80 (але перешкоджати доступу інших). Я знаю, що балансир завантаження не має конкретних груп безпеки, які я можу налаштувати і наказати йому приймати лише мою IP-адресу, але чи є інший спосіб це зробити?

Що Ерік проходить довгий шлях до вас, але насправді не констатує, що вам потрібно авторизувати джерело як amazon-elb/amazon-elb-sg. Якщо ви робите це через консоль управління AWS, вона фактично автоматично завершиться, коли ви почнете її вводити у вихідне поле. Я керую кількома конфігураціями ELB, і всі вони дозволяють отримати доступ до 80 / TCP через цю групу безпеки та статичні IP-адреси моїх систем моніторингу.

Щоб звернутися до оновленої інформації про запит, ви не можете обмежувати, які IP адреси можуть потрапляти на ELB. Це можливо на стороні сервера Apache, якщо ви пишете правила, які дивляться на заголовки та приймають рішення про відхилення подання сторінки. Мій спосіб обмеження доступу до тестування - додати мій статичний IP до групи безпеки, дозволеного потрапляти на екземпляр EC2 через порт 80 / TCP і просто вивезти екземпляр з ELB для тестування.

Amazon оголосив про підтримку цього в квітні:

Тепер ви можете налаштувати випадки EC2, що сидять за еластичним балансиром навантаження, щоб отримувати трафік тільки від балансира навантаження, використовуючи спеціальну групу безпеки, пов’язану з еластичним балансиром навантаження. Для цього ви викликаєте API DescribeLoadBalancers, щоб отримати ім'я SecurityGroup, а потім включите цю групу до списку груп, коли згодом запускаєте деякі екземпляри EC2. Назва групи безпеки також може бути отримана з панелі деталей про балансування навантаження на консолі AWSManagement.

http://aws.typepad.com/aws/2011/05/elastic-load-balancing-ipv6-zone-apex-support-additional-security.html

Я повинен додати, що amazon-elb/amazon-elb-sgце типова назва групи безпеки балансира навантаження. Якщо ви змінили назву групи безпеки, додавання amazon-elb/amazon-elb-sgне буде працювати. Більш загальна відповідь полягає в тому, щоб додати ідентифікатор групи безпеки або назву групи безпеки балансира навантаження до групи безпеки всіх екземплярів, що беруть участь у кластері.

Створіть нову групу безпеки для ELB, тоді дозвольте доступ до EC2 лише з групи безпеки ELB. Змініть налаштування безпеки в розділі VPC, щоб легше це зробити.

Спеціальний IP / Діапазон -> ELB -> EC2 (лише група ELB) ->

У мене є кілька розробників, які мають приватний доступ через ELB, але мають перевірки стану здоров'я, необхідні для контролю сервера.