我需要知道AWS EC2实例将使用什么IP子网
阅读:
- https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html
- https://superuser.com/questions/989123/amazon-ec2-public-ip-address/989400
我知道我可以使用这个URL给出IP范围:
- https://ip-ranges.amazonaws.com/ip-ranges.json
但是我对输出有点困惑。
我明白我需要过滤:
- 类型:EC2
我的理解正确吗?如果这样,我得到137个IP子网,这是一个非常重要的数字。
如何对IP子网有更多的控制?
这将是非常脆弱的将防火墙系统建立在任何EC2实例的可能ip上在这些地区可以有。
允许从一个区域访问可能是可以的,但你正在打开你的防火墙五个流量大的&非常流行的AWS区域.
允许所有流量的一揽子策略将从本质上破坏防火墙应该只允许特定的流量通过的目的。
如果您确实在寻找安全性,请为EC2实例分配一个弹性IP (EIP),并只允许来自这些特定IP的流量。
这取决于你有多少EC2实例,它也可能更容易,更快&更便宜(无论多么小)路由所有的EC2实例通过1个NAT网关与1个EIP(如果你不需要所有的EC2实例有不同的公共ip)。
您将省去与Amazon所做的可能的IP范围更改保持同步的头痛,拥有更清洁的防火墙策略,并且通过只让您确定来自您的实例的流量通过具有更严格的安全性。
赢,赢,赢。