Überlegungen Beispiel: Filtern des Client-Datenverkehrs Beispiel: Akzeptieren von Datenverkehr nur vom Load Balancer Aktualisieren der zugeordneten Sicherheitsgruppen Aktualisieren der Sicherheitseinstellungen Überwachen von Load-Balancer-Sicherheitsgruppen

Sicherheitsgruppen für Ihren Network Load Balancer

Sie können Ihrem Network Load Balancer eine Sicherheitsgruppe zuordnen, um den Datenverkehr zu steuern, der den Load Balancer erreichen und verlassen darf. Sie geben die Ports, Protokolle und Quellen an, die eingehenden Datenverkehr zulassen, und die Ports, Protokolle und Ziele, die ausgehenden Datenverkehr zulassen sollen. Wenn Sie Ihrem Load Balancer keine Sicherheitsgruppe zuweisen, kann der gesamte Client-Datenverkehr die Load-Balancer-Listener erreichen und der gesamte Datenverkehr kann den Load Balancer verlassen.

Sie können den mit Ihren Zielen verknüpften Sicherheitsgruppen eine Regel hinzufügen, die auf die mit Ihrem Network Load Balancer verknüpfte Sicherheitsgruppe verweist. Auf diese Weise können Clients über Ihren Load Balancer Datenverkehr an Ihre Ziele senden, sie können jedoch keinen Datenverkehr direkt an Ihre Ziele senden. Wenn Sie in den mit Ihren Zielen verknüpften Sicherheitsgruppen auf die Ihrem Network Load Balancer zugeordnete Sicherheitsgruppe verweisen, wird sichergestellt, dass Ihre Ziele Datenverkehr von Ihrem Load Balancer akzeptieren, auch wenn Sie die Client-IP-Erhaltung für Ihren Load Balancer aktivieren.

Für Datenverkehr, der durch Sicherheitsgruppenregeln für eingehenden Datenverkehr blockiert wird, werden Ihnen keine Gebühren berechnet.

Inhalt

Überlegungen
Beispiel: Filtern des Client-Datenverkehrs
Beispiel: Akzeptieren von Datenverkehr nur vom Load Balancer
Aktualisieren der zugeordneten Sicherheitsgruppen
Aktualisieren der Sicherheitseinstellungen
Überwachen von Load-Balancer-Sicherheitsgruppen

Überlegungen

Sie können Sicherheitsgruppen einem Network Load Balancer zuordnen, wenn Sie ihn erstellen. Wenn Sie einen Network Load Balancer erstellen, ohne Sicherheitsgruppen zuzuordnen, können Sie sie später nicht mehr dem Load Balancer zuordnen. Wir empfehlen, Ihrem Load Balancer eine Sicherheitsgruppe zuzuordnen, wenn Sie ihn erstellen.
Wenn Sie einen Network Load Balancer mit zugeordneten Sicherheitsgruppen erstellen, können Sie die dem Load Balancer zugeordneten Sicherheitsgruppen später jederzeit ändern.
Zustandsprüfungen unterliegen Regeln für ausgehenden Datenverkehr, nicht jedoch für eingehenden. Sie müssen sicherstellen, dass Regeln für ausgehenden Datenverkehr den Zustandsprüfungsdatenverkehr nicht blockieren. Andernfalls betrachtet der Load Balancer die Ziele als fehlerhaft.
Sie können steuern, ob der PrivateLink Datenverkehr Regeln für eingehenden Datenverkehr unterliegt. Wenn Sie Regeln für eingehenden PrivateLink Datenverkehr aktivieren, ist die Quelle des Datenverkehrs die private IP-Adresse des Clients, nicht die Endpunktschnittstelle.

Beispiel: Filtern des Client-Datenverkehrs

Die folgenden Regeln für eingehenden Datenverkehr in der Sicherheitsgruppe, die Ihrem Network Load Balancer zugeordnet ist, lassen nur Datenverkehr zu, der aus dem angegebenen Adressbereich stammt. Wenn es sich um einen internen Load Balancer handelt, können Sie einen VPC-CIDR-Bereich als Quelle angeben, um nur Datenverkehr von einer bestimmten VPC zuzulassen. Wenn es sich um einen mit dem Internet verbundenen Load Balancer handelt, der Datenverkehr von überall im Internet akzeptieren muss, können Sie 0.0.0.0/0 als Quelle angeben.

Eingehend
Protokoll	Quelle	Port-Bereich	Kommentar
`Protokoll`	`Client-IP-Adressbereich`	`Listener-Ports`	Erlaubt eingehenden Datenverkehr vom Quell-CIDR auf dem Listener-Port
ICMP	0.0.0.0/0	Alle	Erlaubt eingehendem ICMP-Datenverkehr die Unterstützung von MTU oder Path MTU Discovery †

† Weitere Informationen finden Sie unter Path MTU Discovery im Amazon EC2 EC2-Benutzerhandbuch.

Ausgehend
Protokoll	Bestimmungsort	Port-Bereich	Kommentar
Alle	Überall	Alle	Erlaubt allen ausgehenden Datenverkehr

Beispiel: Akzeptieren von Datenverkehr nur vom Load Balancer

Angenommen, Ihr Network Load Balancer hat eine Sicherheitsgruppe sg-111112222233333. Verwenden Sie die folgenden Regeln in den Sicherheitsgruppen, die Ihren Ziel-Instances zugeordnet sind, um sicherzustellen, dass sie nur Datenverkehr vom Network Load Balancer akzeptieren. Sie müssen sicherstellen, dass die Ziele Datenverkehr vom Load Balancer sowohl auf dem Zielport als auch auf dem Zustandsprüfungsport akzeptieren. Weitere Informationen finden Sie unter Zielsicherheitsgruppen.

Eingehend
Protokoll	Quelle	Port-Bereich	Kommentar
`Protokoll`	sg-111112222233333	`Zielport`	Erlaubt eingehenden Datenverkehr vom Load Balancer auf dem Zielport
`Protokoll`	sg-111112222233333	`Zustandsprüfung`	Erlaubt eingehenden Datenverkehr vom Load Balancer auf dem Zustandsprüfungsport

Ausgehend
Protokoll	Bestimmungsort	Port-Bereich	Kommentar
Alle	Überall	Any	Erlaubt allen ausgehenden Datenverkehr

Aktualisieren der zugeordneten Sicherheitsgruppen

Wenn Sie bei der Erstellung mindestens einem Load Balancer mindestens eine Sicherheitsgruppe zugeordnet haben, können Sie die Sicherheitsgruppen für diesen Load Balancer jederzeit aktualisieren.

So aktualisieren Sie Sicherheitsgruppen mithilfe der Konsole

Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.
Wählen Sie im Navigationsbereich unter LOAD BALANCING die Option Load Balancers aus.
Wählen Sie den Load Balancer aus.
Wählen Sie auf der Registerkarte Sicherheit die Option Bearbeiten aus.
Um eine Sicherheitsgruppe mit Ihrem Load Balancer zu verknüpfen, wählen Sie sie aus. Um eine Sicherheitsgruppe aus Ihrem Load Balancer zu entfernen, deaktivieren Sie sie.
Wählen Sie Änderungen speichern aus.

Um Sicherheitsgruppen mit dem zu aktualisieren AWS CLI

Verwenden Sie den Befehl set-security-groups.

Aktualisieren der Sicherheitseinstellungen

Standardmäßig wenden wir die Sicherheitsgruppenregeln für eingehenden Datenverkehr auf den gesamten Datenverkehr an, der an den Load Balancer gesendet wird. Möglicherweise möchten Sie diese Regeln jedoch nicht auf den Datenverkehr anwenden, der an den Load Balancer gesendet wird und der von sich überschneidenden IP-Adressen stammen kann. AWS PrivateLink In diesem Fall können Sie den Load Balancer so konfigurieren, dass wir die Regeln für eingehenden Datenverkehr, der über den Load Balancer gesendet wird, nicht anwenden. AWS PrivateLink

So aktualisieren Sie die Sicherheitsrichtlinieneinstellungen mithilfe der Konsole

Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.
Wählen Sie im Navigationsbereich unter LOAD BALANCING die Option Load Balancers aus.
Wählen Sie den Load Balancer aus.
Wählen Sie auf der Registerkarte Sicherheit die Option Bearbeiten aus.
Deaktivieren Sie unter Sicherheitseinstellungen die Option Regeln für eingehenden Datenverkehr durchsetzen. PrivateLink
Wählen Sie Änderungen speichern aus.

Um die Sicherheitseinstellungen zu aktualisieren, verwenden Sie AWS CLI

Verwenden Sie den Befehl set-security-groups.

Überwachen von Load-Balancer-Sicherheitsgruppen

Verwenden Sie die SecurityGroupBlockedFlowCount_Outbound CloudWatch Metriken SecurityGroupBlockedFlowCount_Inbound und, um die Anzahl der Datenflüsse zu überwachen, die von den Load Balancer-Sicherheitsgruppen blockiert werden. Blockierter Datenverkehr spiegelt sich nicht in anderen Metriken wider. Weitere Informationen finden Sie unter CloudWatch Metriken für Ihren Network Load Balancer.

Verwenden Sie VPC-Flow-Protokolle, um den Datenverkehr zu überwachen, der von den Load-Balancer-Sicherheitsgruppen akzeptiert oder abgelehnt wird. Weitere Informationen finden Sie unter VPC-Flow-Protokolle im Amazon-VPC-Benutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Aktualisieren des Adresstyps

Aktualisieren der Tags