Grupos de seguridad para el Equilibrador de carga de aplicación - Elastic Load Balancing
Reglas recomendadasActualizar los grupos de seguridad asociados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Grupos de seguridad para el Equilibrador de carga de aplicación

El grupo de seguridad del Equilibrador de carga de aplicación controla el tráfico al que se le permite llegar y dejar el equilibrador de carga. Debe asegurarse de que el equilibrador de carga pueda comunicarse con los destinos registrados en el puerto del oyente y en el puerto de comprobación de estado. Cada vez que agregue un oyente al equilibrador de carga o actualice la comprobación de estado de un grupo de destino que el equilibrador de carga utilice para direccionar solicitudes, debe asegurarse de que los grupos de seguridad asociados a ese equilibrador de carga permitan el tráfico en el nuevo puerto en ambas direcciones. Si no es así, puede editar las reglas de los grupos de seguridad que estén asociados al equilibrador de carga o bien asociarle otros grupos de seguridad. Puede elegir los puertos y los protocolos que desee permitir. Por ejemplo, puede abrir conexiones del Protocolo de mensajes de control de Internet (ICMP) para que el equilibrador de carga responda a las solicitudes de ping (sin embargo, las solicitudes de ping no se reenvían a ninguna instancia).

Consideraciones

  • Para garantizar que sus destinos reciban tráfico exclusivamente del equilibrador de carga, limite los grupos de seguridad asociados a los destinos para que acepten únicamente el tráfico del equilibrador de carga. Para ello, configure el grupo de seguridad del equilibrador de carga como el origen en la regla de entrada del grupo de seguridad del destino.

  • Si su Application Load Balancer es el objetivo de un Network Load Balancer, los grupos de seguridad de su Application Load Balancer utilizan el seguimiento de conexiones para rastrear la información sobre el tráfico procedente del Network Load Balancer. Esto ocurre independientemente de las reglas del grupo de seguridad establecidas para su Equilibrador de carga de aplicación. Para obtener más información, consulte Seguimiento de conexiones de grupos de seguridad en la Guía del EC2 usuario de Amazon.

  • Le recomendamos que permita que el tráfico ICMP entrante sea compatible con Path MTU Discovery. Para obtener más información, consulte Path MTU Discovery en la Guía del EC2 usuario de Amazon.

Se recomiendan las siguientes reglas para un balanceador de cargas conectado a Internet con instancias como objetivos.

Inbound
Source Port Range Comment

0.0.0.0/0

listener

Permitir todo el tráfico entrante en el puerto del oyente del equilibrador de carga

Outbound

Destination Port Range Comment

instance security group

instance listener

Permitir el tráfico saliente a las instancias en el puerto del oyente de la instancia

instance security group

health check

Permitir el tráfico saliente a las instancias en el puerto de comprobación de estado

Se recomiendan las siguientes reglas para un balanceador de cargas interno con instancias como objetivos.

Inbound
Source Port Range Comment

VPC CIDR

listener

Permitir el tráfico entrante del CIDR de VPC en el puerto del oyente del equilibrador de carga

Outbound

Destination Port Range Comment

instance security group

instance listener

Permitir el tráfico saliente a las instancias en el puerto del oyente de la instancia

instance security group

health check

Permitir el tráfico saliente a las instancias en el puerto de comprobación de estado

Se recomiendan las siguientes reglas para un Application Load Balancer con instancias como destinos y que, a su vez, sea el objetivo de un Network Load Balancer.

Inbound
Source Port Range Comment

client IP addresses/CIDR

alb listener

Permite el tráfico entrante del cliente en el puerto del oyente del equilibrador de carga.

VPC CIDR

alb listener

Permita que el tráfico de clientes entrante pase por el puerto de AWS PrivateLink escucha del balanceador de carga

VPC CIDR

alb listener

Permitir el tráfico de estado entrante desde el Equilibrador de carga de red

Outbound

Destination Port Range Comment

instance security group

instance listener

Permitir el tráfico saliente a las instancias en el puerto del oyente de la instancia

instance security group

health check

Permitir el tráfico saliente a las instancias en el puerto de comprobación de estado

Actualizar los grupos de seguridad asociados

Puede actualizar los grupos de seguridad asociados con el equilibrador de carga en cualquier momento.

Console
Para actualizar los grupos de seguridad

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Load Balancers.

  3. Seleccione el equilibrador de carga.

  4. En la pestaña Seguridad, seleccione Editar.

  5. Para asociar un grupo de seguridad al equilibrador de carga, selecciónelo. Para eliminar la asociación de un grupo de seguridad, elija el icono X del grupo de seguridad.

  6. Seleccione Save changes (Guardar cambios).

AWS CLI
Para actualizar los grupos de seguridad

Utilice el comando set-security-groups.

aws elbv2 set-security-groups \
    --load-balancer-arn load-balancer-arn \
    --security-groups sg-01dd3383691d02f42 sg-00f4e409629f1a42d
CloudFormation
Para actualizar los grupos de seguridad

Actualice el AWS::ElasticLoadBalancingV2::LoadBalancerrecurso.

Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-alb
      Type: application
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
        - !Ref myNewSecurityGroup