我有一個服務器(Java/Tomcat正在運行),它正在創建巨大的出站流量。該服務器不能從外部訪問,只有內部網絡服務器可以訪問它。即僅允許來自內部網絡的入站。拒絕除AWS cloud之外的所有出站流量
要解決巨大的出站流量,我們已經通過aws安全組阻止所有出站流量,但內部網絡服務器除外。
但現在它也停止了自定義監控腳本發送數據到cloudwatch。
所以是什麼,我需要在出站規則,以打開將流量發送到CloudWatch的IP範圍?
對於新加坡地區:
,如果你通過任何AWS服務器ping終點 monitoring.ap-southeast-1.amazonaws.com
的CloudWatch的IP都可以找到。
對於AWS中的任何其他區域,請參閱下面的鏈接。 http://docs.aws.amazon.com/general/latest/gr/rande.html#cw_region
上面的頁面列出了所有AWS服務的端點。
嘗試*開始>運行> cmd>按回車鍵入*鍵入* telnet cloudwatchURL以查看任何錯誤消息,如果ping不起作用,則爲計劃B –
更好**不解析AWS端點的IP地址* * 像那樣。我認爲端點應該是一個負載平衡器和[負載平衡器的IP地址可能會改變](http://stackoverflow.com/questions/3821333/amazon-ec2-elastic-load-balancer-does-its-ip-ever -更改)。我嘗試了幾次解析CloudWatch並獲得了一些不同的IP地址。 –
@Edward Samuel - 如果使用AWS安全組,應該採取什麼措施? Afaik AWS安全組僅允許基於IP的規則 - 我們無法將端點URL放入其中? –
無論您認爲該服務器是否可從外部訪問,「巨大的出站流量」都是一個已被入侵的大紅旗。它能夠產生這種流量的事實表明它具有你不瞭解的外部連接。阻止出站流量並不能解決真正的問題,並且您的整個基礎架構可能會面臨嚴重的安全風險,直到您關閉它並發現真正的問題。 –