Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasikan grup keamanan untuk Classic Load Balancer
Grup keamanan bertindak sebagai firewall yang mengontrol lalu lintas yang diizinkan ke dan dari satu atau lebih contoh. Saat meluncurkan instans EC2, Anda dapat mengaitkan satu atau beberapa grup keamanan dengan instans tersebut. Untuk setiap grup keamanan, Anda menambahkan satu atau beberapa aturan untuk mengizinkan lalu lintas. Anda dapat mengubah aturan untuk grup keamanan kapan saja; aturan baru diterapkan secara otomatis ke semua instance yang terkait dengan grup keamanan. Untuk informasi selengkapnya, lihat grup keamanan Amazon EC2 di Panduan Pengguna Amazon EC2.
Daftar Isi
Grup keamanan untuk penyeimbang beban dalam VPC
Saat Anda menggunakan AWS Management Console untuk membuat penyeimbang beban di VPC, Anda dapat memilih grup keamanan yang ada untuk VPC atau membuat grup keamanan baru untuk VPC. Jika Anda memilih grup keamanan yang ada, itu harus mengizinkan lalu lintas di kedua arah ke pendengar dan port pemeriksaan kesehatan untuk penyeimbang beban. Jika Anda memilih untuk membuat grup keamanan, konsol secara otomatis menambahkan aturan untuk mengizinkan semua lalu lintas di port ini.
[VPC Nondefault] Jika Anda menggunakan AWS CLI atau API membuat penyeimbang beban di VPC nondefault, tetapi Anda tidak menentukan grup keamanan, penyeimbang beban Anda secara otomatis dikaitkan dengan grup keamanan default untuk VPC.
[VPC default] Jika Anda menggunakan API AWS CLI atau untuk membuat penyeimbang beban di VPC default, Anda tidak dapat memilih grup keamanan yang ada untuk penyeimbang beban Anda. Sebagai gantinya, Elastic Load Balancing menyediakan grup keamanan dengan aturan untuk mengizinkan semua lalu lintas pada port yang ditentukan untuk penyeimbang beban. Elastic Load Balancing hanya membuat satu grup keamanan seperti itu per AWS akun, dengan nama formulir default_elb_ id (misalnya,).
default_elb_fc5fbed3-0405-3b7d-a328-ea290EXAMPLE
Penyeimbang beban berikutnya yang Anda buat di VPC default juga menggunakan grup keamanan ini. Pastikan untuk meninjau aturan grup keamanan untuk memastikan bahwa mereka mengizinkan lalu lintas pada pendengar dan port pemeriksaan kesehatan untuk penyeimbang beban baru. Saat Anda menghapus penyeimbang beban, grup keamanan ini tidak dihapus secara otomatis.
Jika Anda menambahkan listener ke penyeimbang beban yang ada, Anda harus meninjau grup keamanan Anda untuk memastikan mereka mengizinkan lalu lintas pada port listener baru di kedua arah.
Daftar Isi
Aturan yang disarankan untuk grup keamanan penyeimbang beban
Grup keamanan untuk penyeimbang beban Anda harus memungkinkan mereka untuk berkomunikasi dengan instans Anda. Aturan yang disarankan tergantung pada jenis penyeimbang beban (menghadap ke internet atau internal).
Tabel berikut menunjukkan aturan yang direkomendasikan untuk penyeimbang beban yang menghadap ke internet.
Inbound | |||
---|---|---|---|
Source | Protocol | Port Range | Comment |
0.0.0.0/0 |
TCP |
|
Izinkan semua lalu lintas masuk pada port listener penyeimbang beban |
Outbound |
|||
Destination | Protocol | Port Range | Comment |
|
TCP |
|
Izinkan lalu lintas keluar ke instans pada port listener instans |
|
TCP |
|
Izinkan lalu lintas keluar ke instans pada port pemeriksaan kondisi |
Tabel berikut menunjukkan aturan yang direkomendasikan untuk penyeimbang beban internal.
Inbound | |||
---|---|---|---|
Source | Protocol | Port Range | Comment |
|
TCP |
|
Izinkan lalu lintas masuk dari VPC CIDR pada port listener penyeimbang beban |
Outbound |
|||
Destination | Protocol | Port Range | Comment |
|
TCP |
|
Izinkan lalu lintas keluar ke instans pada port listener instans |
|
TCP |
|
Izinkan lalu lintas keluar ke instans pada port pemeriksaan kondisi |
Kelola grup keamanan menggunakan konsol
Gunakan prosedur berikut untuk mengubah grup keamanan yang terkait dengan penyeimbang beban Anda di VPC.
Untuk memperbarui grup keamanan yang ditetapkan ke penyeimbang beban Anda menggunakan konsol
Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/
. -
Pada panel navigasi, di bawah PENYEIMBANGAN BEBAN, pilih Penyeimbang beban.
-
Pilih nama penyeimbang beban untuk membuka halaman detailnya.
-
Pada tab Keamanan, pilih Edit.
-
Pada halaman Edit grup keamanan, Di bawah Grup keamanan menambah atau menghapus grup keamanan sesuai kebutuhan.
Anda dapat menambahkan hingga lima grup keamanan.
-
Setelah selesai, pilih Simpan perubahan.
Kelola grup keamanan menggunakan AWS CLI
Gunakan perintah apply-security-groups-to-load-balancer berikut untuk mengaitkan grup keamanan dengan penyeimbang beban di VPC. Grup keamanan yang ditentukan mengganti grup keamanan yang sebelumnya terkait.
aws elb apply-security-groups-to-load-balancer --load-balancer-name
my-loadbalancer
--security-groupssg-53fae93f
Berikut adalah respons contohnya:
{
"SecurityGroups": [
"sg-53fae93f"
]
}
Grup keamanan untuk instance dalam VPC
Grup keamanan untuk instans Anda harus memungkinkan mereka berkomunikasi dengan penyeimbang beban. Tabel berikut menunjukkan aturan yang direkomendasikan.
Inbound | |||
---|---|---|---|
Source | Protocol | Port Range | Comment |
|
TCP |
|
Izinkan lalu lintas dari penyeimbang beban pada port pendengar instance |
|
TCP |
|
Izinkan lalu lintas dari penyeimbang beban di port pemeriksaan kesehatan |
Kami juga merekomendasikan Anda untuk mengizinkan inbound ICMP lalu lintas untuk mendukung jalan MTU penemuan. Untuk informasi selengkapnya, lihat Path MTU Discovery di Panduan Pengguna Amazon EC2.
ACL jaringan untuk penyeimbang beban dalam VPC
Daftar kontrol akses jaringan default (ACL) untuk VPC memungkinkan semua lalu lintas masuk dan keluar. Jika Anda membuat ACL jaringan kustom, Anda harus menambahkan aturan yang memungkinkan penyeimbang beban dan instance untuk berkomunikasi.
Aturan yang disarankan untuk subnet untuk penyeimbang beban Anda bergantung pada jenis penyeimbang beban (menghadap ke internet atau internal).
Berikut ini adalah aturan yang direkomendasikan untuk penyeimbang beban yang menghadap ke internet.
Inbound | |||
---|---|---|---|
Source | Protocol | Port | Comment |
0.0.0.0/0 |
TCP |
|
Izinkan semua lalu lintas masuk pada port listener penyeimbang beban |
|
TCP |
1024-65535 |
Izinkan lalu lintas masuk dari CIDR VPC pada port fana |
Outbound |
|||
Destination | Protocol | Port | Comment |
|
TCP |
|
Izinkan semua lalu lintas keluar pada port pendengar instance |
|
TCP |
|
Izinkan semua lalu lintas keluar di port pemeriksaan kesehatan |
0.0.0.0/0 |
TCP |
1024-65535 |
Izinkan semua lalu lintas keluar di port fana |
Berikut ini adalah aturan yang direkomendasikan untuk penyeimbang beban internal.
Inbound | |||
---|---|---|---|
Source | Protocol | Port | Comment |
|
TCP |
|
Izinkan lalu lintas masuk dari VPC CIDR pada port listener penyeimbang beban |
|
TCP |
1024-65535 |
Izinkan lalu lintas masuk dari CIDR VPC pada port fana |
Outbound |
|||
Destination | Protocol | Port | Comment |
|
TCP |
|
Izinkan lalu lintas keluar ke CIDR VPC pada port pendengar instance |
|
TCP |
|
Izinkan lalu lintas keluar ke CIDR VPC di port pemeriksaan kesehatan |
|
TCP |
1024-65535 |
Izinkan lalu lintas keluar ke CIDR VPC di port fana |
Aturan yang disarankan untuk subnet untuk instans Anda tergantung pada apakah subnet itu pribadi atau publik. Aturan berikut adalah untuk subnet pribadi. Jika instans Anda berada di subnet publik, ubah sumber dan tujuan dari CIDR VPC menjadi. 0.0.0.0/0
Inbound | |||
---|---|---|---|
Source | Protocol | Port | Comment |
|
TCP |
|
Izinkan lalu lintas masuk dari CIDR VPC pada port pendengar instance |
|
TCP |
|
Izinkan lalu lintas masuk dari CIDR VPC di port pemeriksaan kesehatan |
Outbound |
|||
Destination | Protocol | Port | Comment |
|
TCP |
1024-65535 |
Izinkan lalu lintas keluar ke CIDR VPC di port fana |