Gruppi di sicurezza per l'Application Load Balancer - Sistema di bilanciamento del carico elastico
Regole consigliateAggiornare i gruppi di sicurezza associati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gruppi di sicurezza per l'Application Load Balancer

Il gruppo di sicurezza dell'Application Load Balancer controlla il traffico a cui viene consentito di raggiungere e lasciare il sistema di bilanciamento del carico. Devi accertarti che il sistema di bilanciamento del carico sia in grado di comunicare con i target registrati sia attraverso la porta del listener sia attraverso la porta di controllo dello stato. Quando aggiungi un listener al tuo sistema di bilanciamento del carico o aggiorni la porta di controllo dello stato per un gruppo target di cui il sistema di bilanciamento del carico si serve per instradare le richieste, devi verificare che i gruppi di sicurezza associati al sistema di bilanciamento del carico permettano il traffico bidirezionale attraverso la nuova porta. Se così non è, è possibile modificare le regole per i gruppi di sicurezza attualmente associati o associare al sistema di bilanciamento del carico dei gruppi di sicurezza diversi. È possibile scegliere le porte e i protocolli da consentire. Ad esempio, è possibile aprire le connessioni Internet Control Message Protocol (ICMP) per consentire al sistema di bilanciamento del carico di rispondere alle richieste di ping (tuttavia, le richieste di ping non vengono inoltrate a nessuna istanza).

Le regole seguenti sono consigliate per un sistema di bilanciamento del carico connesso a Internet.

Inbound
Source Port Range Comment

0.0.0.0/0

listener

Consente tutto il traffico in entrata sulla porta del listener del load balancer

Outbound

Destination Port Range Comment

instance security group

instance listener

Consente il traffico in uscita verso le istanze sulla porta del listener dell'istanza

instance security group

health check

Permette il traffico in uscita verso le istanze attraverso la porta di controllo dello stato

Le seguenti regole sono consigliate per un sistema di bilanciamento del carico interno.

Inbound
Source Port Range Comment

VPC CIDR

listener

Consenti il traffico in entrata dalla porta listener del load VPC CIDR balancer

Outbound

Destination Port Range Comment

instance security group

instance listener

Consente il traffico in uscita verso le istanze sulla porta del listener dell'istanza

instance security group

health check

Permette il traffico in uscita verso le istanze attraverso la porta di controllo dello stato

Le seguenti regole sono consigliate per un Application Load Balancer utilizzato come destinazione di un Network Load Balancer.

Inbound
Source Port Range Comment

client IP addresses/CIDR

alb listener

Permette il traffico client in entrata sulla porta dell'ascoltatore del sistema di bilanciamento del carico

VPC CIDR

alb listener

Consenti il traffico client in entrata tramite la porta del listener di AWS PrivateLink load balancer

VPC CIDR

alb listener

Autorizza il traffico integro in entrata dal Network Load Balancer

Outbound

Destination Port Range Comment

instance security group

instance listener

Consente il traffico in uscita verso le istanze sulla porta del listener dell'istanza

instance security group

health check

Permette il traffico in uscita verso le istanze attraverso la porta di controllo dello stato

Tenere presente che i gruppi di sicurezza dell'Application Load Balancer utilizza il monitoraggio della connessione per monitorare il traffico in arrivo dal Network Load Balancer. Questo si verifica a prescindere dalle regole del gruppo di sicurezza impostate per l'Application Load Balancer. Per ulteriori informazioni sul tracciamento delle EC2 connessioni Amazon, consulta Tracciamento delle connessioni dei gruppi di sicurezza nella Amazon EC2 User Guide.

Per garantire che i tuoi obiettivi ricevano traffico esclusivamente dal sistema di bilanciamento del carico, limita i gruppi di sicurezza associati ai tuoi obiettivi in modo che accettino il traffico esclusivamente dal sistema di bilanciamento del carico. Ciò può essere ottenuto impostando il gruppo di sicurezza del load balancer come origine nella regola di ingresso del gruppo di sicurezza della destinazione.

Ti consigliamo inoltre di consentire al ICMP traffico in entrata di supportare Path Discovery. MTU Per ulteriori informazioni, consulta Path MTU Discovery nella Amazon EC2 User Guide.

Aggiornare i gruppi di sicurezza associati

Puoi aggiornare i gruppi di sicurezza associati al tuo sistema di bilanciamento del carico in qualsiasi momento.

Per aggiornare i gruppi di sicurezza utilizzando la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Seleziona Sistemi di bilanciamento del carico nel riquadro di navigazione.

  3. Selezionare il load balancer.

  4. Nella scheda Sicurezza, scegli Modifica.

  5. Per associare un gruppo di sicurezza al sistema di bilanciamento del carico, selezionalo. Per rimuovere l'associazione a un gruppo di sicurezza, scegli l'icona X relativa a tale gruppo di sicurezza.

  6. Scegli Save changes (Salva modifiche).

Per aggiornare i gruppi di sicurezza utilizzando il AWS CLI

Usare il set-security-groupscomando.