Регистрация Войти
Рейтинг:0
avatar Server

Разрешить AWS Private EC2 HTTP и HTTPS общедоступным

флаг cn
Inquirer Guy

Извиняюсь за вопрос, поскольку я все еще изучаю AWS, в настоящее время я изучаю использование Private EC2 под управлением Windows Server IIS для подключения к базе данных через Site-to-site VPN/VPC к локальному контроллеру домена, помимо подключения к базе данных. /port, я разрешаю доступ к RDP через VPN.

Однако я хотел, чтобы пользователи получали доступ к IIS HTTP и HTTPS из общего доступа. каковы шаги или требования к нему, я читал, что для этого требуется ELB? Благодарю вас за отзывы и, надеюсь, указать мне правильное направление или ресурсы. Спасибо.

62
0 + 0
iis
Рейтинг:0
Tim avatar Server
флаг gp
Tim

AWS — довольно сложная корпоративная платформа. Вам действительно нужно изучить платформу, чтобы использовать ее, чтобы убедиться, что вы делаете все правильно и безопасно. Обучение очень помогает.

На ваш вопрос немного сложно ответить, поскольку вы не используете стандартную терминологию AWS.Но краткий ответ заключается в том, что группа безопасности, связанная с вашим сервером IIS, должна иметь открытые входящие порты 80 и 443. Вам не нужен ELB, если у вас есть только один сервер EC2, но ELB обеспечивают некоторую дополнительную защиту от некоторых форм DDOS-атак. Вам нужен интернет-шлюз в вашем VPC, направленный в вашу общедоступную подсеть, но таблица маршрутов для вашей частной подсети не должна направлять на интернет-шлюз. Частная подсеть также не должна выделять общедоступные IP-адреса.

Обновление — если вы хотите запустить несколько веб-серверов, используйте балансировщик нагрузки приложений в одной группе безопасности с 443/80, открытой для всего мира, а затем другую группу безопасности для ваших экземпляров EC2, открытую только для ALB. Инстансы EC2 лучше всего использовать в частной подсети, без маршрута в/из Интернета и без общедоступного IP-адреса.

Если это не имеет смысла, я предлагаю либо пройти обучение, либо нанять кого-нибудь, чтобы помочь :)

Обновить SSL

Я бы не стал делать разгрузку TLS в CloudFlare, иначе ваш трафик в Интернете останется незашифрованным и несовместимым ни с чем. Вы можете завершить TLS на ALB и довольно безопасно использовать http для своих экземпляров EC2, поскольку трафик внутри AWS обычно считается безопасным, он изолирован гиперплоскостью AWS. ALB может получать трафик через порт 443, расшифровывать его, а затем передавать в EC2 через порт 80. Сам я этого не делал, но думаю, что вы только что настроили свою целевую группу для прослушивания порта 80, а не 443. Создайте сертификат TLS, используя Менеджер сертификатов AWS.

Лично я бы использовал TLS на инстансах EC2, если бы у меня не было веских причин или рабочая нагрузка не была чувствительной. Однако проще использовать сертификат ALB, чем устанавливать сертификаты на каждый экземпляр EC2.

0 + 0
флаг cn
Inquirer Guy
Спасибо, Тим, да, цель состоит в том, чтобы запустить несколько веб-серверов, поэтому я прочитал некоторые темы ELB. Я проверю и прочитаю кое-что об интернет-шлюзе, о котором вы упомянули. Спасибо
0
Ответить
Tim avatar
флаг gp
Tim
Я отредактировал, чтобы добавить больше о балансировке нагрузки для вас.
0
Ответить
флаг cn
Inquirer Guy
Привет, Тим, мне удалось добиться того, что частная подсеть находится за ALB, а серверы (IIS) теперь доступны в Интернете и указали DNS-имя на мой DNS-хостинг и Cloudflare как CNAME. Мне любопытно, я хотел только балансировку нагрузки, но поскольку у меня есть Cloudflare WAF, я бы хотел разгрузить SSL, используя его вместо AWS ALB.каким будет подход в AWS ALB, где я могу разрешить SSL/HTTPS без импорта SSL в него (учитывая, что, как уже упоминалось, я буду разгружать SSL на Cloudflare)? До сих пор я пытался разрешить порт 443 группы ALB-Security, но безрезультатно.
0
Ответить
Tim avatar
флаг gp
Tim
Я отредактировал свой ответ, чтобы ответить на ваш комментарий.
0
Ответить
флаг cn
Inquirer Guy
Хорошо я понял. Я хотел разгрузить SSL, потому что серверов больше одного, и я не хотел бы утруждать себя настройкой сертификатов по одному на каждом из EC2, и я хотел максимизировать скорость/производительность EC2 без дополнительных накладных расходов на SSL/ шифрование на себе. Таким образом, по сути, я мог бы выполнить разгрузку SSL на WAF и на AWS ALB. таким образом, трафик в Интернете, проходящий между cloudflare и alb, все еще зашифрован. Спасибо, Тим.
0
Ответить
Tim avatar
флаг gp
Tim
WAF проводит проверку, а не разгрузку. ALB выполняет разгрузку или расшифровку/повторное шифрование в TLS. Лучшей практикой являются сертификаты для каждого экземпляра, это довольно просто с Let's Encrypt.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.