Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Grup keamanan untuk Application Load Balancer Anda
Grup keamanan untuk Application Load Balancer Anda mengontrol lalu lintas yang diizinkan untuk mencapai dan meninggalkan penyeimbang beban. Anda harus memastikan bahwa penyeimbang beban dapat berkomunikasi dengan target terdaftar pada port listener dan port pemeriksaan kondisi. Setiap kali menambahkan listener ke penyeimbang beban atau memperbarui port pemeriksaan kondisi untuk grup target yang digunakan oleh penyeimbang beban untuk merutekan permintaan, Anda harus memverifikasi bahwa grup keamanan yang terkait dengan penyeimbang beban mengizinkan lalu lintas pada port baru di kedua arah. Jika tidak, Anda dapat mengedit aturan untuk grup keamanan yang saat ini terkait atau mengaitkan grup keamanan yang berbeda dengan penyeimbang beban. Anda dapat memilih port dan protokol untuk memungkinkan. Misalnya, Anda dapat membuka koneksi Internet Control Message Protocol (ICMP) untuk penyeimbang beban untuk menanggapi permintaan ping (namun, permintaan ping tidak diteruskan ke instance apa pun).
Aturan yang direkomendasikan
Aturan berikut direkomendasikan untuk penyeimbang beban yang menghadap internet.
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
0.0.0.0/0 |
|
Izinkan semua lalu lintas masuk pada port listener penyeimbang beban |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
Izinkan lalu lintas keluar ke instans pada port listener instans |
|
|
|
Izinkan lalu lintas keluar ke instans pada port pemeriksaan kondisi |
Aturan berikut direkomendasikan untuk penyeimbang beban internal.
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
|
|
Izinkan lalu lintas masuk dari VPC CIDR port pendengar penyeimbang beban |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
Izinkan lalu lintas keluar ke instans pada port listener instans |
|
|
|
Izinkan lalu lintas keluar ke instans pada port pemeriksaan kondisi |
Aturan berikut direkomendasikan untuk Application Load Balancer yang digunakan sebagai target Network Load Balancer.
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
|
|
Izinkan lalu lintas klien masuk pada port pendengar penyeimbang beban |
|
|
|
Izinkan lalu lintas klien masuk melalui AWS PrivateLink port pendengar penyeimbang beban |
|
|
|
Izinkan lalu lintas kesehatan masuk dari Network Load Balancer |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
Izinkan lalu lintas keluar ke instans pada port listener instans |
|
|
|
Izinkan lalu lintas keluar ke instans pada port pemeriksaan kondisi |
Perhatikan bahwa grup keamanan untuk Application Load Balancer Anda menggunakan pelacakan koneksi untuk melacak informasi tentang lalu lintas yang berasal dari Network Load Balancer. Ini terjadi terlepas dari aturan grup keamanan yang ditetapkan untuk Application Load Balancer Anda. Untuk mempelajari selengkapnya tentang pelacakan EC2 koneksi Amazon, lihat Pelacakan koneksi grup keamanan di Panduan EC2 Pengguna Amazon.
Untuk memastikan target Anda menerima lalu lintas secara eksklusif dari penyeimbang beban, batasi kelompok keamanan yang terkait dengan target Anda untuk menerima lalu lintas semata-mata dari penyeimbang beban. Hal ini dapat dicapai dengan menetapkan kelompok keamanan load balancer sebagai sumber dalam aturan ingress dari kelompok keamanan target.
Kami juga menyarankan agar Anda mengizinkan ICMP lalu lintas masuk untuk mendukung Path MTU Discovery. Untuk informasi selengkapnya, lihat Path MTU Discovery di Panduan EC2 Pengguna Amazon.
Memperbarui grup keamanan terkait
Anda dapat memperbarui grup keamanan yang terkait dengan penyeimbang beban kapan saja.
Untuk memperbarui grup keamanan menggunakan konsol
Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/
. -
Pada panel navigasi, pilih Load Balancers.
-
Pilih penyeimbang beban.
-
Pada tab Keamanan, pilih Edit.
-
Untuk mengaitkan grup keamanan dengan penyeimbang beban Anda, pilih grup tersebut. Untuk menghapus asosiasi grup keamanan, pilih ikon X untuk grup keamanan.
-
Pilih Simpan perubahan.
Untuk memperbarui grup keamanan menggunakan AWS CLI
Gunakan perintah set-security-groups.
