Я чего-то не совсем понимаю в отношении проверок здоровья. Если я ограничу доступ в группе безопасности, связанной со службой, до нескольких / 32 (одиночных IP-адресов) для порта трафика, служба будет помечена как неработоспособная. Если я разрешаю доступ в мир к порту трафика, служба помечается как работоспособная. Если я разрешаю доступ только к внутреннему блоку CIDR, включая NLB, служба помечается как работоспособная - НО это также разрешает доступ к порту всему миру.
Я попытался сделать проверку работоспособности, используя другой порт в контейнере, но это меньше, чем идеально, и я не добился успеха. Хотя я бы приветствовал ответ, в котором подробно описано, как это правильно настроить, учитывая мои требования к Fargate / NLB / Elastic IP, я бы предпочел, чтобы порт трафика был просто портом проверки работоспособности, но мне нужно понять способ запретить мир доступ к порту.
Вам нужно выяснить, откуда берутся проверки работоспособности, и занести эти IP-адреса в белый список. Поскольку это контейнер Fargate и у вас, вероятно, нет доступа к нему по SSH, вы можете попробовать один из следующих способов:
Вы также упоминаете, что когда вы заносите в белый список внутренний диапазон IP-адресов VPC, служба получает открыт для мира. Это звучит неправильно - можете ли вы опубликовать снимок экрана с настройками вашей группы безопасности в этом случае?
Надеюсь, что это поможет :)