У меня есть отдельные «зоны» (VPC) и в них кластерные серверы. В зоне «DMZ» у меня есть кластер с разным задним и передним сетевыми адаптерами. 172.30.x.x служит стороне, обращенной к Интернету, в то время как 10.0.x.x обслуживает любые обратные соединения в (более) безопасной зоне.Как я могу различать внешний и внутренний ELB в AWS?
Поскольку я использую кластерную среду, у меня есть настройка балансировки нагрузки (ELB), одна для внешнего подключения из Интернета (172.30.x.x) и один внутренний ELB для внутренней зоны (10.0.x.x).
Мне нужно добавить ACL (разрешить/запретить) для слушателей спереди/сзади (172.30.xx/10.0.xx), но моя проблема в том, что AWB ELB имеет одинаковый IP-адрес источника как для внешнего ELB, так и для внутреннего ELB. Исходный IP-адрес источника включен только заголовок X-forwarded-for, который не будет работать, поскольку ACL может обрабатывать исходные IP-адреса, а не HTTP-заголовки.
Теперь ACL бесполезен как оба Интернет звонков и звонков из зоны обратной стороны имеет источник IP находится в диапазоне 172.30.xx который является VPC где ОБА Elb в «живые» ...
Любые предложения по как я могу различать внутренний и внешний IP для ACL (или настроить группу безопасности или другую меру, чтобы обеспечить только обратные соединения могут достигать 10.0.xx прослушивателей)?
У вас уже есть описанная настройка или это просто дизайн? –
Вы помещали внутренние и внешние ELB в одну подсеть? –
Да, это запущенная настройка, и, да, оба ELB находятся в одной и той же VPC (подсеть), поскольку сервер с NIC - это тот же сервер ... – Anders