我在EC2实例上有一个应用程序,它连接到一个网站(github.com(来下载应用程序存储库(比如说一周三次或更频繁一点(。
我喜欢使用NACL来阻止对我的专有网络的访问;因此,除了这个网站github.com(考虑到NACL是无状态的(之外,没有其他流量可以通过。
我面临的问题是,我不能将使用NACL的网站列入白名单;因为基于IP的方法是不可行的(IP总是在变化(。有人能提出一个更好的解决方案或我们可以在这里应用的修复方案吗。
NACL无法解析DNS,因为这需要具有有关HTTP协议详细信息的进一步OSI层。
您可以在这里做的一个选项是将您的EC2实例放置在NAT网关后面,从而有效地将其放置在私有子网中,并将其转换为在面对公共互联网时不会更改的IP,例如弹性IP。通过这种方式,您将能够在引用一致的IP地址的同时保护您的EC2实例。
另一种选择是使用ssh-keygen生成公钥和私钥对,然后将其复制到相应的git-reo(SSH密钥(,然后在建立一对一信任后阻止任何其他协议和流量。这篇文章很好地解决了一个更安全的版本:EC2可以';t SSH进入github