înregistrare Logare
Puncte:0
avatar Server

Permiteți AWS Private EC2 HTTP și HTTPS să fie public

drapel cn
Inquirer Guy

Scuze pentru întrebare, deoarece încă învăț AWS, în prezent explorez utilizarea unui EC2 privat care rulează Windows Server IIS pentru a se conecta la o bază de date prin VPN/VPC de la site la site la un DC local, în afară de conexiunea la baza de date. /port, voi permite accesul la RDP prin VPN.

Cu toate acestea, am vrut ca utilizatorii să acceseze IIS HTTP și HTTPS din public. care sunt pașii sau cerințele pentru el, am citit că necesită un ELB? Apreciez feedback-ul tău și sper să mă îndrume către direcția sau resursele potrivite. Mulțumesc.

62
0 + 0
iis
Puncte:0
Tim avatar Server
drapel gp
Tim

AWS este o platformă de întreprindere destul de complexă. Chiar trebuie să înveți platforma pentru a o folosi pentru a te asigura că faci lucrurile corect, în siguranță. Antrenamentul ajută foarte mult.

La întrebarea dvs. este ușor dificil de răspuns, deoarece nu utilizați terminologia standard AWS.Dar răspunsul scurt este că grupul de securitate care este asociat cu serverul dvs. IIS trebuie să aibă porturile de intrare 80 și 443 deschise. Nu aveți nevoie de un ELB dacă aveți un singur server EC2, dar ELB-urile oferă o protecție suplimentară împotriva unor forme de atacuri DDOS. Aveți nevoie de un gateway de internet în VPC-ul dvs., direcționat către subrețeaua publică, dar tabelul de rute pentru subrețeaua privată nu ar trebui să fie direcționat către gateway-ul de internet. Nici subrețeaua privată nu ar trebui să aloce IP-uri publice.

Actualizare - dacă doriți să rulați mai multe servere web, atunci utilizați un echilibrator de încărcare a aplicației într-un grup de securitate cu 443 / 80 deschis pentru lume, apoi un alt grup de securitate pentru instanțele dvs. EC2 deschis numai pentru ALB. Instanțele EC2 sunt cele mai bune într-o subrețea privată, fără rută către/de la internet și fără IP public.

Dacă nu are sens, vă sugerez fie să vă pregătiți, fie să angajez pe cineva care să vă ajute :)

Actualizare pentru SSL

Nu aș face descărcarea TLS la CloudFlare, asta ar lăsa traficul necriptat pe internet și nu ar fi conform cu nimic. Puteți închide TLS la un ALB și puteți utiliza http la instanțele dvs. EC2 destul de sigur, deoarece traficul din AWS este în general considerat sigur, este izolat de AWS Hyperplane. ALB poate primi trafic pe portul 443, decripta, apoi trece la EC2 pe portul 80. Nu am făcut-o singur, dar cred că tocmai v-ați configurat grupul țintă ascultând portul 80 și nu 443. Creați un certificat TLS folosind Manager de certificate AWS.

Personal, aș face TLS pe ​​instanțele EC2, dacă nu am un motiv întemeiat sau volumul de lucru nu era sensibil. Este mai ușor să utilizați un certificat ALB decât să instalați certificate pe fiecare instanță EC2.

0 + 0
drapel cn
Inquirer Guy
Mulțumesc Tim, da, scopul este să rulez mai multe servere web, astfel încât să mă determină să citesc câteva subiecte ELB. Voi verifica și citi câteva pe poarta de internet pe care ați menționat-o. Mulțumesc
0
Răspunde
Tim avatar
drapel gp
Tim
Am editat pentru a adăuga mai multe despre echilibrarea încărcării pentru tine.
0
Răspunde
drapel cn
Inquirer Guy
Bună Tim, am reușit să realizez ca subrețeaua privată să fie în spatele unui ALB, iar serverele (IIS) sunt acum accesibile pe internet și au indicat numele DNS către găzduirea mea DNS și Cloudflare ca CNAME. Sunt curios, am vrut doar echilibrarea sarcinii, dar din moment ce am un Cloudflare WAF și aș dori să descarc SSL folosind asta în loc de AWS ALB.care ar fi abordarea în AWS ALB în care pot permite SSL/HTTPS fără a importa SSL în el (având în vedere că, așa cum am menționat, voi descărca SSL pe Cloudflare)? Ceea ce am încercat până acum este să permit pe portul 443 al grupului ALB-Security, dar fără rezultat.
0
Răspunde
Tim avatar
drapel gp
Tim
Mi-am editat răspunsul pentru a răspunde comentariului tău.
0
Răspunde
drapel cn
Inquirer Guy
OK, inteleg. Am vrut să descarc SSL pentru că serverele sunt mai multe și nu aș vrea să mă deranjez să configurez certificatul unul câte unul pe fiecare dintre EC2 și am vrut să maximizez viteza/performanța EC2 fără suprasolicitarea suplimentară a SSL/ criptare pe sine. Deci, în esență, s-ar putea să fac descărcarea SSL pe WAF și pe AWS ALB, de asemenea. în acest fel, traficul de pe internet care trece între cloudflare și alb este încă criptat. Multumesc Tim.
0
Răspunde
Tim avatar
drapel gp
Tim
WAF face inspecție, nu descărcare. ALB descarcă sau decriptează/recriptează în TLS. Cea mai bună practică este certificatele pentru fiecare instanță, este destul de ușor cu Let's Encrypt.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.