我们正在尝试从互联网获取流量来访问我们的 ALB,进行解密,然后通过 Palo Alto Cloud NGFW 发送,最终到达我们的容器。见下图:
由于某种原因,当我们允许来自 ALB 安全组的流量进入 ECS 容器的安全组时,我们无法使其正常工作。所以这不起作用:
ContainerSecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
GroupDescription: "Security group for containers"
SecurityGroupIngress:
- SourceSecurityGroupId: !Ref ALBSecurityGroup
Description: "From load balancer"
FromPort: 80
IpProtocol: tcp
ToPort: 80
VpcId: !ImportValue app-vpc
当它起作用时:
ContainerSecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
GroupDescription: "Security group for containers"
SecurityGroupIngress:
- CidrIp: "<IP_ADDRESSES_OF_ALB>"
Description: "From load balancer"
FromPort: 80
IpProtocol: tcp
ToPort: 80
VpcId: !ImportValue app-vpc
无法找到任何关于此的明确文档,如果我遗漏了什么,有人知道是否可以以某种方式解决这个问题吗?它宁愿不在安全组中硬编码 IP 地址,因为我们正在使用 CloudFormation 进行设置。