Tham gia Đăng nhập
Điểm:0
avatar Server

Cho phép AWS Private EC2 HTTP và HTTPS công khai

lá cờ cn
Inquirer Guy

Xin lỗi cho câu hỏi vì tôi vẫn đang tìm hiểu AWS, hiện tại tôi đang khám phá bằng cách sử dụng EC2 riêng chạy Windows Server IIS để kết nối với Cơ sở dữ liệu qua VPN/VPC từ trang web đến DC tại chỗ, ngoài kết nối Cơ sở dữ liệu /port, tôi sẽ cho phép truy cập RDP qua VPN.

Tuy nhiên, tôi muốn người dùng truy cập IIS HTTP và HTTPS từ công chúng. các bước hoặc yêu cầu đối với nó là gì, tôi đã đọc rằng nó yêu cầu ELB? Đánh giá cao phản hồi của bạn và hy vọng chỉ cho tôi đúng hướng hoặc tài nguyên. Cảm ơn bạn.

62
0 + 0
Điểm:0
Tim avatar Server
lá cờ gp
Tim

AWS là một nền tảng doanh nghiệp khá phức tạp. Bạn thực sự cần tìm hiểu nền tảng để sử dụng nền tảng nhằm đảm bảo bạn đang làm mọi việc đúng cách, an toàn. Đào tạo giúp rất nhiều.

Câu hỏi của bạn hơi khó trả lời vì bạn không sử dụng thuật ngữ AWS tiêu chuẩn.Nhưng câu trả lời ngắn gọn là nhóm bảo mật được liên kết với máy chủ IIS của bạn cần phải mở các cổng gửi đến 80 và 443. Bạn không cần ELB nếu bạn chỉ có một máy chủ EC2, nhưng ELB cung cấp một số biện pháp bảo vệ bổ sung chống lại một số hình thức tấn công DDOS. Bạn thực sự cần một cổng internet trong VPC của mình, được định tuyến đến mạng con công cộng của bạn, nhưng bảng định tuyến cho mạng con riêng tư của bạn không được định tuyến đến cổng internet. Mạng con riêng tư cũng không được phân bổ IP công cộng.

Cập nhật - nếu bạn muốn chạy nhiều máy chủ web thì hãy sử dụng bộ cân bằng tải ứng dụng trong một nhóm bảo mật có 443/80 mở ra thế giới, sau đó một nhóm bảo mật khác dành cho các phiên bản EC2 của bạn chỉ mở cho ALB. Phiên bản EC2 hoạt động tốt nhất trong mạng con riêng tư, không có tuyến đường đến/từ internet và không có IP công cộng.

Nếu điều đó không có ý nghĩa, tôi khuyên bạn nên tham gia một số khóa đào tạo hoặc thuê ai đó giúp đỡ :)

Cập nhật lại SSL

Tôi sẽ không giảm tải TLS tại CloudFlare, điều đó sẽ khiến lưu lượng truy cập của bạn không được mã hóa trên internet và sẽ không tuân thủ bất kỳ điều gì. Bạn có thể chấm dứt TLS tại ALB và sử dụng http cho các phiên bản EC2 của mình một cách khá an toàn vì lưu lượng trong AWS thường được coi là an toàn, lưu lượng này được cách ly bởi Siêu phẳng AWS. ALB có thể nhận lưu lượng truy cập trên cổng 443, giải mã, sau đó chuyển sang EC2 trên cổng 80. Bản thân tôi chưa thực hiện nhưng tôi nghĩ bạn vừa thiết lập nhóm mục tiêu của mình nghe cổng 80 thay vì 443. Tạo chứng chỉ TLS bằng cách sử dụng Trình quản lý chứng chỉ AWS.

Cá nhân tôi sẽ thực hiện TLS trên các phiên bản EC2 trừ khi tôi có lý do chính đáng hoặc khối lượng công việc không nhạy cảm. Tuy nhiên, việc sử dụng chứng chỉ ALB dễ dàng hơn cài đặt chứng chỉ trên mỗi phiên bản EC2.

0 + 0
lá cờ cn
Inquirer Guy
Cảm ơn tim, vâng, mục tiêu là chạy nhiều máy chủ web, do đó, tôi đã đọc một số chủ đề ELB. Tôi sẽ kiểm tra và đọc một số trên cổng Internet mà bạn đã đề cập. Cảm ơn bạn
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
Mình đã chỉnh sửa để bổ sung thêm về cân bằng tải cho các bạn.
0
Hồi đáp
lá cờ cn
Inquirer Guy
Xin chào Tim, tôi đã có thể đạt được rằng mạng con riêng nằm sau ALB và các máy chủ (IIS) hiện có thể truy cập được trên internet và đã chỉ tên DNS cho dịch vụ lưu trữ DNS của tôi và Cloudflare là CNAME. Tôi tò mò, tôi chỉ muốn Cân bằng tải nhưng vì tôi có Cloudflare WAF và tôi muốn giảm tải SSL bằng cách sử dụng nó thay vì AWS ALB.cách tiếp cận trong AWS ALB là gì, nơi tôi có thể cho phép SSL/HTTPS mà không cần nhập SSL vào nó (với điều kiện như đã đề cập, tôi sẽ giảm tải SSL trên Cloudflare)? Những gì tôi đã thử cho đến nay là cho phép trên cổng nhóm ALB-Security 443, nhưng không có kết quả.
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
Tôi đã chỉnh sửa câu trả lời của mình để giải quyết nhận xét của bạn.
0
Hồi đáp
lá cờ cn
Inquirer Guy
Vâng tôi hiểu. Tôi muốn giảm tải SSL vì máy chủ có nhiều hơn một máy chủ và tôi không muốn gặp rắc rối khi thiết lập từng chứng chỉ một trên mỗi EC2 và tôi muốn tối đa hóa tốc độ/hiệu suất của EC2 mà không cần thêm chi phí SSL/ mã hóa trên chính nó. Vì vậy, về bản chất, tôi cũng có thể thực hiện giảm tải SSL trên WAF và trên AWS ALB. theo cách đó, lưu lượng truy cập qua internet giữa cloudflare và alb vẫn được mã hóa. Cảm ơn Tim.
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
WAF không kiểm tra, không giảm tải. ALB giảm tải hoặc giải mã/mã hóa lại trong TLS. Phương pháp hay nhất là chứng chỉ cho mỗi phiên bản, việc này khá dễ dàng với Let's Encrypt.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.