Verfolgung von Verbindungen - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verfolgung von Verbindungen

Ihre Sicherheitsgruppen verwenden die Verbindungsverfolgung zur Nachverfolgung des Datenverkehrs zu und von der Instance. Regeln werden auf der Grundlage des Verbindungszustands des Datenverkehrs angewendet, um zu ermitteln, ob der Datenverkehr zulässig ist oder nicht. Dieser Ansatz macht es möglich, dass Sicherheitsgruppen statusorientiert arbeiten. Das bedeutet, dass Antworten auf eingehenden Verkehr unabhängig von den Regeln für ausgehende Sicherheitsgruppen aus der Instance fließen dürfen und umgekehrt. Zum Beispiel: Wenn Sie einen ICMP-ping-Befehl zu Ihrer Instance von Ihrem Heimcomputer aus initiieren und Ihre eingehenden Sicherheitsgruppenregeln ICMP-Datenverkehr erlauben, werden die Informationen zu der Verbindung (einschließlich der Portinformationen) verfolgt. Antwort-Datenverkehr von der Instance für den ping-Befehl wird nicht als neue Anfrage verfolgt, sondern als eingerichtete Verbindung; dieser Datenverkehr kann die Instance verlassen, selbst wenn Ihre ausgehenden Sicherheitsgruppenregeln ausgehenden ICMP-Datenverkehr beschränken.

Nicht alle Datenverkehrsflüsse werden verfolgt. Wenn eine Sicherheitsgruppenregel TCP- oder UDP-Fluss für den gesamten Datenverkehr (0.0.0.0/0 oder ::/0) erlaubt und eine entsprechende Regel in der anderen Richtung den gesamten Antwort-Datenverkehr (0.0.0.0/0 oder ::/0) für alle Ports (0-65535) zulässt, dann wird der Fluss des Datenverkehrs nicht verfolgt. Der Antwort-Datenverkehr kann daher auf der Grundlage der eingehenden oder ausgehenden Regel fließen, die den Antwort-Datenverkehr zulässt, und nicht auf der Grundlage von Nachverfolgungsinformationen.

Im folgenden Beispiel hat die Sicherheitsgruppe spezifische Regeln für eingehenden TCP- und ICMP-Datenverkehr sowie eine Regel für ausgehenden Datenverkehr, die allen ausgehenden IPv4- und Ipv6-Datenverkehr zulässt.

Regeln für eingehenden Datenverkehr
Protokolltyp Port-Nummer Quell-IP
TCP 22 (SSH) 203.0.113.1/32
TCP 80 (HTTP) 0.0.0.0/0
TCP 80 (HTTP) ::/0
ICMP Alle 0.0.0.0/0
Regeln für ausgehenden Datenverkehr
Protokolltyp Port-Nummer Ziel-IP
Alle Alle 0.0.0.0/0
Alle Alle ::/0
  • TCP-Datenverkehr auf Port 22 (SSH) zu und von der Instance wird nachverfolgt, da die eingehende Regel Datenverkehr nur von 203.0.113.1/32 und nicht von allen IP-Adressen zulässt (0.0.0.0/0).

  • TCP-Datenverkehr auf Port 80 (HTTP) zu und von der Instance wird nicht verfolgt, da die eingehenden und die ausgehenden Regeln den gesamten Datenverkehr zulassen (0.0.0.0/0 oder ::/0).

  • ICMP-Datenverkehr wird unabhängig von Regeln immer verfolgt.

  • Wenn Sie die ausgehende Regel aus der Sicherheitsgruppe entfernen, wird der gesamte Verkehr zu und von der Instance verfolgt, einschließlich des Verkehrs auf Port 80 (HTTP).

Ein nicht verfolgter Datenverkehrsfluss wird sofort unterbrochen, wenn die Regel, die ihn ermöglicht, entfernt oder modifiziert wird. Wenn Sie z. B. eine offene (0.0.0.0/0) ausgehende Regel haben und eine Regel entfernen, die den gesamten (0.0.0.0/0) eingehenden SSH-Verkehr (TCP-Port 22) zur Instance zulässt (oder sie so ändern, dass die Verbindung nicht mehr zulässig wäre), werden Ihre bestehenden SSH-Verbindungen zur Instance sofort gelöscht. Die Verbindung wurde zuvor nicht nachverfolgt, sodass die Änderung die Verbindung unterbricht. Wenn Sie eine restriktivere Regel für eingehende Verbindungen verwenden, die zunächst die SSH-Verbindung zulässt (was bedeutet, dass die Verbindung nachverfolgt wurde), diese Regel aber so ändern, dass keine neuen Verbindungen von der Adresse des aktuellen SSH-Clients mehr zugelassen werden, wird die bestehende Verbindung durch die Änderung der Regel jedoch nicht unterbrochen.

Für andere Protokolle als TCP, UDP oder ICMP werden nur die IP-Adresse und die Protokollnummer verfolgt. Wenn Ihre Instance Datenverkehr an einen anderen Host (Host B) sendet und Host B innerhalb von 600 Sekunden nach der ursprünglichen Anforderung oder Antwort in einer separaten Anforderung dieselbe Art von Datenverkehr an Ihre Instance initiiert, akzeptiert Ihre Instance diese unabhängig von den Regeln für eingehende Sicherheitsgruppen. Ihre Instance akzeptiert dies, da es als Antwortverkehr betrachtet wird.

Um sicherzustellen, dass der Verkehr sofort unterbrochen wird, wenn Sie eine Sicherheitsgruppenregel entfernen, oder um sicherzustellen, dass der gesamte eingehende Verkehr den Firewall-Regeln unterliegt, können Sie eine Netzwerk-ACL für Ihr Subnetz verwenden. Netzwerk-ACLs sind zustandslos und lassen daher nicht automatisch Antwortdatenverkehr zu. Weitere Informationen finden Sie unter Netzwerk-ACLs im Amazon VPC Benutzerhandbuch.

Drosselung

Es gibt eine maximale Anzahl von Verbindungen, die pro Instance verfolgt werden können. Nachdem das Maximum erreicht ist, gehen alle Pakete, die gesendet oder empfangen werden, verloren, weil keine neue Verbindung hergestellt werden kann. In diesem Fall können Anwendungen, die Pakete senden und empfangen, nicht ordnungsgemäß kommunizieren. Weitere Informationen finden Sie unter Überwachen der Netzwerkleistung für Ihre Instance.

Die conntrack_allowance_exceeded-Metrik zeigt die Anzahl der verlorenen Pakete an. Weitere Informationen finden Sie unter Anzeigen der Metriken zur Netzwerkleistung für Ihre Linux-Instance.