Konfigurasikan grup keamanan untuk Classic Load Balancer

Grup keamanan bertindak sebagai firewall yang mengontrol lalu lintas yang diizinkan ke dan dari satu atau lebih contoh. Saat meluncurkan instans EC2, Anda dapat mengaitkan satu atau beberapa grup keamanan dengan instans tersebut. Untuk setiap grup keamanan, Anda menambahkan satu atau beberapa aturan untuk mengizinkan lalu lintas. Anda dapat mengubah aturan untuk grup keamanan kapan saja; aturan baru diterapkan secara otomatis ke semua instance yang terkait dengan grup keamanan. Untuk informasi selengkapnya, lihat grup keamanan Amazon EC2 di Panduan Pengguna Amazon EC2.

Grup keamanan untuk penyeimbang beban dalam VPC

Saat Anda menggunakan AWS Management Console untuk membuat penyeimbang beban di VPC, Anda dapat memilih grup keamanan yang ada untuk VPC atau membuat grup keamanan baru untuk VPC. Jika Anda memilih grup keamanan yang ada, itu harus mengizinkan lalu lintas di kedua arah ke pendengar dan port pemeriksaan kesehatan untuk penyeimbang beban. Jika Anda memilih untuk membuat grup keamanan, konsol secara otomatis menambahkan aturan untuk mengizinkan semua lalu lintas di port ini.

[VPC Nondefault] Jika Anda menggunakan AWS CLI atau API membuat penyeimbang beban di VPC nondefault, tetapi Anda tidak menentukan grup keamanan, penyeimbang beban Anda secara otomatis dikaitkan dengan grup keamanan default untuk VPC.

[VPC default] Jika Anda menggunakan API AWS CLI atau untuk membuat penyeimbang beban di VPC default, Anda tidak dapat memilih grup keamanan yang ada untuk penyeimbang beban Anda. Sebagai gantinya, Elastic Load Balancing menyediakan grup keamanan dengan aturan untuk mengizinkan semua lalu lintas pada port yang ditentukan untuk penyeimbang beban. Elastic Load Balancing hanya membuat satu grup keamanan seperti itu per AWS akun, dengan nama formulir default_elb_ id (misalnya,). default_elb_fc5fbed3-0405-3b7d-a328-ea290EXAMPLE Penyeimbang beban berikutnya yang Anda buat di VPC default juga menggunakan grup keamanan ini. Pastikan untuk meninjau aturan grup keamanan untuk memastikan bahwa mereka mengizinkan lalu lintas pada pendengar dan port pemeriksaan kesehatan untuk penyeimbang beban baru. Saat Anda menghapus penyeimbang beban, grup keamanan ini tidak dihapus secara otomatis.

Jika Anda menambahkan listener ke penyeimbang beban yang ada, Anda harus meninjau grup keamanan Anda untuk memastikan mereka mengizinkan lalu lintas pada port listener baru di kedua arah.

Daftar Isi

• Aturan yang disarankan untuk grup keamanan penyeimbang beban
• Kelola grup keamanan menggunakan konsol
• Kelola grup keamanan menggunakan AWS CLI

Aturan yang disarankan untuk grup keamanan penyeimbang beban

Grup keamanan untuk penyeimbang beban Anda harus memungkinkan mereka untuk berkomunikasi dengan instans Anda. Aturan yang disarankan tergantung pada jenis penyeimbang beban (menghadap ke internet atau internal).

Tabel berikut menunjukkan aturan yang direkomendasikan untuk penyeimbang beban yang menghadap ke internet.

Inbound
Source	Protocol	Port Range	Comment
0.0.0.0/0	TCP	pendengar	Izinkan semua lalu lintas masuk pada port listener penyeimbang beban
Outbound
Destination	Protocol	Port Range	Comment
grup keamanan instans	TCP	pendengar contoh	Izinkan lalu lintas keluar ke instans pada port listener instans
grup keamanan instans	TCP	pemeriksaan kesehatan	Izinkan lalu lintas keluar ke instans pada port pemeriksaan kondisi

Tabel berikut menunjukkan aturan yang direkomendasikan untuk penyeimbang beban internal.

Inbound
Source	Protocol	Port Range	Comment
VPC CIDR	TCP	pendengar	Izinkan lalu lintas masuk dari VPC CIDR pada port listener penyeimbang beban
Outbound
Destination	Protocol	Port Range	Comment
grup keamanan instans	TCP	pendengar contoh	Izinkan lalu lintas keluar ke instans pada port listener instans
grup keamanan instans	TCP	pemeriksaan kesehatan	Izinkan lalu lintas keluar ke instans pada port pemeriksaan kondisi

Kelola grup keamanan menggunakan konsol

Gunakan prosedur berikut untuk mengubah grup keamanan yang terkait dengan penyeimbang beban Anda di VPC.

Untuk memperbarui grup keamanan yang ditetapkan ke penyeimbang beban Anda menggunakan konsol

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

2. Pada panel navigasi, di bawah PENYEIMBANGAN BEBAN, pilih Penyeimbang beban.

3. Pilih nama penyeimbang beban untuk membuka halaman detailnya.

4. Pada tab Keamanan, pilih Edit.

5. Pada halaman Edit grup keamanan, Di bawah Grup keamanan menambah atau menghapus grup keamanan sesuai kebutuhan.

   Anda dapat menambahkan hingga lima grup keamanan.

6. Setelah selesai, pilih Simpan perubahan.

Kelola grup keamanan menggunakan AWS CLI

Gunakan perintah apply-security-groups-to-load-balancer berikut untuk mengaitkan grup keamanan dengan penyeimbang beban di VPC. Grup keamanan yang ditentukan mengganti grup keamanan yang sebelumnya terkait.

aws elb apply-security-groups-to-load-balancer --load-balancer-name my-loadbalancer --security-groups sg-53fae93f

Berikut adalah respons contohnya:

{
  "SecurityGroups": [
     "sg-53fae93f"
  ]
}

Grup keamanan untuk instance dalam VPC

Grup keamanan untuk instans Anda harus memungkinkan mereka berkomunikasi dengan penyeimbang beban. Tabel berikut menunjukkan aturan yang direkomendasikan.

Inbound
Source	Protocol	Port Range	Comment
kelompok keamanan penyeimbang beban	TCP	pendengar contoh	Izinkan lalu lintas dari penyeimbang beban pada port pendengar instance
kelompok keamanan penyeimbang beban	TCP	pemeriksaan kesehatan	Izinkan lalu lintas dari penyeimbang beban di port pemeriksaan kesehatan

Kami juga merekomendasikan Anda untuk mengizinkan inbound ICMP lalu lintas untuk mendukung jalan MTU penemuan. Untuk informasi selengkapnya, lihat Path MTU Discovery di Panduan Pengguna Amazon EC2.

ACL jaringan untuk penyeimbang beban dalam VPC

Daftar kontrol akses jaringan default (ACL) untuk VPC memungkinkan semua lalu lintas masuk dan keluar. Jika Anda membuat ACL jaringan kustom, Anda harus menambahkan aturan yang memungkinkan penyeimbang beban dan instance untuk berkomunikasi.

Aturan yang disarankan untuk subnet untuk penyeimbang beban Anda bergantung pada jenis penyeimbang beban (menghadap ke internet atau internal).

Berikut ini adalah aturan yang direkomendasikan untuk penyeimbang beban yang menghadap ke internet.

Inbound
Source	Protocol	Port	Comment
0.0.0.0/0	TCP	pendengar	Izinkan semua lalu lintas masuk pada port listener penyeimbang beban
VPC CIDR	TCP	1024-65535	Izinkan lalu lintas masuk dari CIDR VPC pada port fana
Outbound
Destination	Protocol	Port	Comment
VPC CIDR	TCP	pendengar contoh	Izinkan semua lalu lintas keluar pada port pendengar instance
VPC CIDR	TCP	pemeriksaan kesehatan	Izinkan semua lalu lintas keluar di port pemeriksaan kesehatan
0.0.0.0/0	TCP	1024-65535	Izinkan semua lalu lintas keluar di port fana

Berikut ini adalah aturan yang direkomendasikan untuk penyeimbang beban internal.

Inbound
Source	Protocol	Port	Comment
VPC CIDR	TCP	pendengar	Izinkan lalu lintas masuk dari VPC CIDR pada port listener penyeimbang beban
VPC CIDR	TCP	1024-65535	Izinkan lalu lintas masuk dari CIDR VPC pada port fana
Outbound
Destination	Protocol	Port	Comment
VPC CIDR	TCP	pendengar contoh	Izinkan lalu lintas keluar ke CIDR VPC pada port pendengar instance
VPC CIDR	TCP	pemeriksaan kesehatan	Izinkan lalu lintas keluar ke CIDR VPC di port pemeriksaan kesehatan
VPC CIDR	TCP	1024-65535	Izinkan lalu lintas keluar ke CIDR VPC di port fana

Aturan yang disarankan untuk subnet untuk instans Anda tergantung pada apakah subnet itu pribadi atau publik. Aturan berikut adalah untuk subnet pribadi. Jika instans Anda berada di subnet publik, ubah sumber dan tujuan dari CIDR VPC menjadi. 0.0.0.0/0

Inbound
Source	Protocol	Port	Comment
VPC CIDR	TCP	pendengar contoh	Izinkan lalu lintas masuk dari CIDR VPC pada port pendengar instance
VPC CIDR	TCP	pemeriksaan kesehatan	Izinkan lalu lintas masuk dari CIDR VPC di port pemeriksaan kesehatan
Outbound
Destination	Protocol	Port	Comment
VPC CIDR	TCP	1024-65535	Izinkan lalu lintas keluar ke CIDR VPC di port fana