AWS Beanstalk SSL负载平衡环境

Question

我试图使aws文档中的注释有意义，以为弹性beantalk应用程序配置HTTPS。

该说明如下：

如果您决定在任何时候都使用负载平衡的环境来重新部署应用程序，则可能会面临开放端口443来访问来自Internet的所有传入流量的风险。 在这种情况下，请从您的.ebextensions目录中删除配置文件。 然后创建一个负载均衡的环境，并使用Elastic Beanstalk管理控制台的“配置”页面的“负载均衡器”部分设置SSL。

这是原始文档页面的链接： http : //docs.aws.amazon.com/elasticbeanstalk/latest/dg/configuring-https.html#configuring-https-elb

您能帮助我理解警告吗？

Answer 1

该文档写得不好。

实际上有2种不同的可能性

• 负载平衡环境：所有流量首先通过负载平衡器，然后再通过实例。
• 非负载平衡环境：所有流量都直接通过您的实例。

如果所有流量都直接流向实例，则需要向所有人开放实例HTTPS端口443

    Resources:
  sslSecurityGroupIngress: 
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: {Ref : AWSEBSecurityGroup}
      IpProtocol: tcp
      ToPort: 443
      FromPort: 443
      CidrIp: 0.0.0.0/0

如果您不这样做，那么每个人都将无法访问您的网站。

如果所有流量都通过负载平衡器，则可以将实例安全性更改为仅与之对话。 它可以忽略互联网的其余部分。 这是更安全的，因为您的负载均衡器是向所有人开放的负载均衡器。 这很重要，因为可以想象一下，如果Linux中存在一个错误，该错误会让某人通过奇怪的操作通过端口443接管您的计算机。 负载均衡器首先查看它并对其进行标准化，因此更难以攻击您的实例。