AWS Beanstalk SSL负载均衡环境

Question

我试图理解aws文档中的注释，为弹性beanstalk应用程序配置HTTPS。

说明如下：

  

如果您决定使用负载平衡环境重新部署应用程序，则可能会将端口443打开到来自Internet的所有传入流量。在这种情况下，请从.ebextensions目录中删除配置文件。然后使用Elastic Beanstalk管理控制台的Configuration页面的Load Balancer部分创建负载平衡环境并设置SSL。

以下是原始文档页面的链接：http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/configuring-https.html#configuring-https-elb

你能帮我理解警告吗？

Answer 1

此文档写得不好。

实际上有两种不同的可能性

• 负载均衡环境：所有流量首先通过负载均衡器，然后再运行到实例。
• 非负载均衡环境：所有流量都直接通过您的实例。

如果所有流量直接进入实例，则需要向所有人打开实例HTTPS端口443

    Resources:
  sslSecurityGroupIngress: 
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: {Ref : AWSEBSecurityGroup}
      IpProtocol: tcp
      ToPort: 443
      FromPort: 443
      CidrIp: 0.0.0.0/0

如果你没有，那么每个人都无法访问你的网站。

如果您的所有流量都通过负载均衡器，则可以将实例安全性更改为仅与其通信。它会忽略互联网的其余部分。这样更安全，因为您的负载均衡器是对所有人开放的负载均衡器。这很重要，因为想象一下，如果linux中有一个错误让某人通过做一些奇怪的事情来通过端口443接管你的机器。负载均衡器首先看到它并将其标准化，以便对您的实例进行攻击更加困难。