Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Grup keamanan untuk Network Load Balancer
Anda dapat mengaitkan grup keamanan dengan Network Load Balancer Anda untuk mengontrol lalu lintas yang diizinkan untuk mencapai dan meninggalkan penyeimbang beban. Anda menentukan port, protokol, dan sumber untuk memungkinkan lalu lintas masuk dan port, protokol, dan tujuan untuk memungkinkan lalu lintas keluar. Jika Anda tidak menetapkan grup keamanan ke penyeimbang beban Anda, semua lalu lintas klien dapat mencapai pendengar penyeimbang beban dan semua lalu lintas dapat meninggalkan penyeimbang beban.
Anda dapat menambahkan aturan ke grup keamanan yang terkait dengan target Anda yang mereferensikan grup keamanan yang terkait dengan Network Load Balancer Anda. Ini memungkinkan klien untuk mengirim lalu lintas ke target Anda melalui penyeimbang beban Anda, tetapi mencegah mereka mengirim lalu lintas langsung ke target Anda. Mereferensikan grup keamanan yang terkait dengan Network Load Balancer Anda di grup keamanan yang terkait dengan target Anda memastikan bahwa target Anda menerima lalu lintas dari penyeimbang beban meskipun Anda mengaktifkan pelestarian IP klien untuk penyeimbang beban Anda.
Anda tidak dikenakan biaya untuk lalu lintas yang diblokir oleh aturan grup keamanan masuk.
Daftar Isi
Pertimbangan
-
Anda dapat mengaitkan grup keamanan dengan Network Load Balancer saat membuatnya. Jika Anda membuat Network Load Balancer tanpa mengaitkan grup keamanan apa pun, Anda tidak dapat mengaitkannya dengan penyeimbang beban nanti. Kami menyarankan Anda mengaitkan grup keamanan dengan penyeimbang beban saat Anda membuatnya.
-
Setelah membuat Network Load Balancer dengan grup keamanan terkait, Anda dapat mengubah grup keamanan yang terkait dengan penyeimbang beban kapan saja.
-
Pemeriksaan kesehatan tunduk pada aturan keluar, tetapi tidak aturan masuk. Anda harus memastikan bahwa aturan keluar tidak memblokir lalu lintas pemeriksaan kesehatan. Jika tidak, penyeimbang beban menganggap target tidak sehat.
-
Anda dapat mengontrol apakah PrivateLink lalu lintas tunduk pada aturan masuk. Jika Anda mengaktifkan aturan masuk pada PrivateLink lalu lintas, sumber lalu lintas adalah alamat IP pribadi klien, bukan antarmuka titik akhir.
Contoh: Filter lalu lintas klien
Aturan masuk berikut dalam grup keamanan yang terkait dengan Network Load Balancer Anda hanya mengizinkan lalu lintas yang berasal dari rentang alamat yang ditentukan. Jika ini adalah penyeimbang beban internal, Anda dapat menentukan rentang CIDR VPC sebagai sumber untuk mengizinkan hanya lalu lintas dari VPC tertentu. Jika ini adalah penyeimbang beban yang menghadap ke internet yang harus menerima lalu lintas dari mana saja di internet, Anda dapat menentukan 0.0.0.0/0 sebagai sumbernya.
Ke dalam | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Protokol | Sumber | Rentang port | Komentar | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
protokol |
rentang alamat IP klien |
port pendengar |
Mengizinkan lalu lintas masuk dari CIDR sumber di port pendengar | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ICMP | 0.0.0.0/0 | Semua | Memungkinkan lalu lintas ICMP masuk untuk mendukung MTU atau Path MTU Discovery † | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
† Untuk informasi selengkapnya, lihat Path MTU Discovery di Panduan Pengguna Amazon EC2.
Ke luar | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Protokol | Tujuan | Rentang port | Komentar | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Semua | Dimanapun | Semua | Mengizinkan semua lalu lintas ke luar | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Contoh: Terima lalu lintas hanya dari penyeimbang beban
Misalkan Network Load Balancer Anda memiliki grup keamanan sg-111112222233333. Gunakan aturan berikut dalam grup keamanan yang terkait dengan instans target Anda untuk memastikan bahwa mereka hanya menerima lalu lintas dari Network Load Balancer. Anda harus memastikan bahwa target menerima lalu lintas dari penyeimbang beban di port target dan port pemeriksaan kesehatan. Untuk informasi selengkapnya, lihat Menargetkan grup keamanan.
Ke dalam | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Protokol | Sumber | Rentang port | Komentar | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
protokol |
sg-111112222233333 | port target |
Memungkinkan lalu lintas masuk dari penyeimbang beban pada port target | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
protokol |
sg-111112222233333 | pemeriksaan kesehatan |
Memungkinkan lalu lintas masuk dari penyeimbang beban di port pemeriksaan kesehatan | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ke luar | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Protokol | Tujuan | Rentang port | Komentar | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Semua | Dimanapun | Setiap | Mengizinkan semua lalu lintas ke luar | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Memperbarui grup keamanan terkait
Jika Anda mengaitkan setidaknya satu grup keamanan dengan penyeimbang beban saat Anda membuatnya, Anda dapat memperbarui grup keamanan untuk penyeimbang beban tersebut kapan saja.
Untuk memperbarui grup keamanan menggunakan konsol
Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/
. -
Pada panel navigasi, di bawah PENYEIMBANGAN BEBAN, pilih Penyeimbang beban.
-
Pilih penyeimbang beban.
-
Pada tab Keamanan, pilih Edit.
-
Untuk mengaitkan grup keamanan dengan penyeimbang beban Anda, pilih grup tersebut. Untuk menghapus grup keamanan dari penyeimbang beban, hapus grup tersebut.
-
Pilih Simpan perubahan.
Untuk memperbarui grup keamanan menggunakan AWS CLI
Gunakan perintah set-security-groups.
Perbarui pengaturan keamanan
Secara default, kami menerapkan aturan grup keamanan masuk ke semua lalu lintas yang dikirim ke penyeimbang beban. Namun, Anda mungkin tidak ingin menerapkan aturan ini ke lalu lintas yang dikirim ke penyeimbang beban AWS PrivateLink, yang dapat berasal dari alamat IP yang tumpang tindih. Dalam hal ini, Anda dapat mengonfigurasi penyeimbang beban sehingga kami tidak menerapkan aturan masuk untuk lalu lintas yang dikirim ke penyeimbang beban melalui. AWS PrivateLink
Untuk memperbarui pengaturan keamanan menggunakan konsol
Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/
. -
Pada panel navigasi, di bawah PENYEIMBANGAN BEBAN, pilih Penyeimbang beban.
-
Pilih penyeimbang beban.
-
Pada tab Keamanan, pilih Edit.
-
Di bawah pengaturan Keamanan, hapus Menegakkan aturan masuk tentang PrivateLink lalu lintas.
-
Pilih Simpan perubahan.
Untuk memperbarui pengaturan keamanan menggunakan AWS CLI
Gunakan perintah set-security-groups.
Pantau kelompok keamanan penyeimbang beban
Gunakan SecurityGroupBlockedFlowCount_Outbound CloudWatch metrik SecurityGroupBlockedFlowCount_Inbound dan untuk memantau jumlah aliran yang diblokir oleh grup keamanan penyeimbang beban. Lalu lintas yang diblokir tidak tercermin dalam metrik lain. Untuk informasi selengkapnya, lihat CloudWatch metrik untuk Network Load Balancer.
Gunakan log aliran VPC untuk memantau lalu lintas yang diterima atau ditolak oleh grup keamanan penyeimbang beban. Untuk informasi selengkapnya, lihat Log aliran VPC di Panduan Pengguna Amazon VPC.
