一种可能的方法是将NLB及其EC2设置在为它们保留的单独专用子网中,并确保路由规则不允许VPC中的其他子网路由到隔离的专用子网。

AWS NLB Document - Target Security Groups ,无法标识NLB,并确保仅从NLB访问(如果目标类型为实例)。需要使用访问NLB的客户端IP地址。

网络负载平衡器 . 因此 目标的安全组必须使用IP地址 允许来自负载平衡器的流量。

不能使用目标安全组中客户端的安全组通过负载平衡器从客户端到目标的流量。 使用目标安全组中的客户端CIDR块

您可以将EC2放在NAT子网上,然后通过NLB指向这个EC2。这样,尽管EC2安全组设置为0.0.0.0/0,但只有NLB可以访问它。

将EC2机器放置在私有子网中,如果需要访问internet,设置目的地0.0.0.0/0的路由表到nat网关id,这样EC2机器可以通过nat访问internet,但是没有人可以从vpc外部访问您的EC2实例。

然后,您可以为您的EC2实例设置入站规则,即使对于0.0.0.0/0也是如此。同样,没有人(专有网络之外)可以直接访问您的EC2实例,因为它们是私有子网。如果您设置了NLB并在其上附加EC2实例,则只允许实例连接(根据NLB侦听器规则)。