Grupos de seguridad para el Equilibrador de carga de aplicación - Elastic Load Balancing
Reglas recomendadasActualizar los grupos de seguridad asociados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Grupos de seguridad para el Equilibrador de carga de aplicación

El grupo de seguridad del Equilibrador de carga de aplicación controla el tráfico al que se le permite llegar y dejar el equilibrador de carga. Debe asegurarse de que el equilibrador de carga pueda comunicarse con los destinos registrados en el puerto del oyente y en el puerto de comprobación de estado. Cada vez que agregue un oyente al equilibrador de carga o actualice la comprobación de estado de un grupo de destino que el equilibrador de carga utilice para direccionar solicitudes, debe asegurarse de que los grupos de seguridad asociados a ese equilibrador de carga permitan el tráfico en el nuevo puerto en ambas direcciones. Si no es así, puede editar las reglas de los grupos de seguridad que estén asociados al equilibrador de carga o bien asociarle otros grupos de seguridad. Puede elegir los puertos y los protocolos que desee permitir. Por ejemplo, puede abrir conexiones del Protocolo de mensajes de control de Internet (ICMP) para que el equilibrador de carga responda a las solicitudes de ping (sin embargo, las solicitudes de ping no se reenvían a ninguna instancia).

Se recomiendan las siguientes reglas para un equilibrador de carga expuesto a Internet.

Inbound
Source Port Range Comment

0.0.0.0/0

oyente

Permitir todo el tráfico entrante en el puerto del oyente del equilibrador de carga

Outbound

Destination Port Range Comment

grupo de seguridad de instancia

oyente de instancia

Permitir el tráfico saliente a las instancias en el puerto del oyente de la instancia

grupo de seguridad de instancia

comprobación de estado

Permitir el tráfico saliente a las instancias en el puerto de comprobación de estado

Se recomiendan las siguientes reglas para un equilibrador de carga interno.

Inbound
Source Port Range Comment

CIDR DE VPC

oyente

Permitir el tráfico entrante del CIDR de VPC en el puerto del oyente del equilibrador de carga

Outbound

Destination Port Range Comment

grupo de seguridad de instancia

oyente de instancia

Permitir el tráfico saliente a las instancias en el puerto del oyente de la instancia

grupo de seguridad de instancia

comprobación de estado

Permitir el tráfico saliente a las instancias en el puerto de comprobación de estado

Se recomiendan las siguientes reglas para un Equilibrador de carga de aplicación que se utiliza como destino de un Equilibrador de carga de red.

Inbound
Source Port Range Comment

Direcciones IP de clientes/CIDR

alb oyente

Permite el tráfico entrante del cliente en el puerto del oyente del equilibrador de carga.

CIDR DE VPC

alb oyente

Permita que el tráfico de clientes entrante pase por AWS PrivateLink el puerto de escucha del balanceador de carga

CIDR DE VPC

alb oyente

Permitir el tráfico de estado entrante desde el Equilibrador de carga de red

Outbound

Destination Port Range Comment

grupo de seguridad de instancia

oyente de instancia

Permitir el tráfico saliente a las instancias en el puerto del oyente de la instancia

grupo de seguridad de instancia

comprobación de estado

Permitir el tráfico saliente a las instancias en el puerto de comprobación de estado

Tenga en cuenta que los grupos de seguridad del Equilibrador de carga de aplicación utilizan el seguimiento de las conexiones para realizar un seguimiento de la información sobre el tráfico procedente del Equilibrador de carga de red. Esto ocurre independientemente de las reglas del grupo de seguridad establecidas para su Equilibrador de carga de aplicación. Para obtener más información sobre el seguimiento de conexiones de Amazon EC2, consulte el seguimiento de conexiones de grupos de seguridad en la Guía del usuario de Amazon EC2.

Para asegurarse de que sus objetivos reciban tráfico exclusivamente del balanceador de cargas, restrinja los grupos de seguridad asociados a sus objetivos para que acepten el tráfico únicamente del balanceador de cargas. Esto se puede lograr configurando el grupo de seguridad del balanceador de cargas como origen en la regla de entrada del grupo de seguridad del objetivo.

También recomendamos permitir el tráfico ICMP entrante para admitir la detección de MTU de ruta. Para obtener más información, consulte Path MTU Discovery en la Guía del usuario de Amazon EC2.

Actualizar los grupos de seguridad asociados

Puede actualizar los grupos de seguridad asociados con el equilibrador de carga en cualquier momento.

Para actualizar los grupos de seguridad desde la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Load Balancers.

  3. Seleccione el equilibrador de carga.

  4. En la pestaña Seguridad, seleccione Editar.

  5. Para asociar un grupo de seguridad al equilibrador de carga, selecciónelo. Para eliminar la asociación de un grupo de seguridad, elija el icono X del grupo de seguridad.

  6. Elija Guardar cambios.

Para actualizar los grupos de seguridad mediante el AWS CLI

Utilice el comando set-security-groups.