2

HTML テンプレートとデータベースから供給されるデータをレンダリングする管理ダッシュボードとして機能する単一の Elastic Beanstalk インスタンスがあります。これとデータベースは特定の VPC 内にあります。

また、VPC 内には、外部サービスからデータベースにデータを保存する Web ソケット クライアントとして機能する別の単一インスタンスの Elastic Beanstalk アプリケーションがあります。これらは、下の図の取り込みフィードです。

取り込みフィードには、取り込みフィードを開始/停止する管理ダッシュボードからヒットできる HTTP Rest エンドポイントがあります。

私が抱えている問題は、VPC の外部からの取り込みフィードを閉じる方法です。管理者ダッシュボードの Elastic Beanstalk アプリからのみ接続したいのですが。

しかし、Webソケットを介して外部サービスに接続できるようにしたい.

ダイアグラム

4

1 に答える 1

3

This should meet your requirements:

Admin Dashboard server: Security Group A

  • Inbound rule allowing traffic on whatever port(s) your dashboard is served on, probably port 80 and/or 443.
  • Default outbound rules

Ingestion Feeds server: Security Group B

  • No inbound rules (see note below)
  • Default outbound rules

Database server: Security Group C

  • Inbound rule to allow instances belonging to Security Group A access to the database port
  • Inbound rule to allow instances belonging to Security Group B access to the database port
  • Default outbound rules

Note:

From the documentation:

Security groups are stateful — if you send a request from your instance, the response traffic for that request is allowed to flow in regardless of inbound security group rules. Responses to allowed inbound traffic are allowed to flow out, regardless of outbound rules.

This should allow your Ingestion Feeds service to create a connection with the External Service and receive responses on that connection without any Inbound Rules assigned to the Ingestion Feeds instance.

于 2016-12-27T18:23:20.827 に答える