Gruppi di sicurezza per bilanciatori del carico in un VPC Gruppi di sicurezza per istanze in un VPC Liste di controllo degli accessi di rete per bilanciatori del carico in un VPC

Configurazione dei gruppi di sicurezza per Classic Load Balancer

Un gruppo di sicurezza agisce come un firewall che controlla il traffico consentito verso o da una o più istanze. Quando avvii un'istanza EC2, puoi associare ad essa uno o più gruppi di sicurezza. Per ogni gruppo di sicurezza, aggiungi una o più regole per consentire il traffico. Puoi modificare le regole per un gruppo di sicurezza in qualunque momento; le nuove regole vengono applicate automaticamente a tutte le istanze associate al gruppo di sicurezza. Per ulteriori informazioni, consulta i gruppi di sicurezza di Amazon EC2 nella Guida per l'utente di Amazon EC2.

Indice

Gruppi di sicurezza per bilanciatori del carico in un VPC
Gruppi di sicurezza per istanze in un VPC
Liste di controllo degli accessi di rete per bilanciatori del carico in un VPC

Gruppi di sicurezza per bilanciatori del carico in un VPC

Quando si utilizza il AWS Management Console per creare un sistema di bilanciamento del carico in un VPC, è possibile scegliere un gruppo di sicurezza esistente per il VPC o creare un nuovo gruppo di sicurezza per il VPC. Se si sceglie un gruppo di sicurezza esistente, occorre consentire il traffico in entrambe le direzioni al listener e alle porte del controllo dello stato per il load balancer. Se si sceglie di creare un gruppo di sicurezza, la console aggiunge automaticamente le regole per consentire tutto il traffico su queste porte.

[VPC non predefinito] Se si utilizza AWS CLI l'API o si crea un sistema di bilanciamento del carico in un VPC non predefinito, ma non si specifica un gruppo di sicurezza, il sistema di bilanciamento del carico viene automaticamente associato al gruppo di sicurezza predefinito per il VPC.

[VPC predefinito] Se utilizzi l'API AWS CLI or per creare un sistema di bilanciamento del carico nel tuo VPC predefinito, non puoi scegliere un gruppo di sicurezza esistente per il tuo sistema di bilanciamento del carico. In alternativa, Elastic Load Balancing fornisce un gruppo di sicurezza con regole per consentire tutto il traffico sulle porte specificate per il load balancer. Elastic Load Balancing crea un solo gruppo di sicurezza di questo tipo per AWS account, con un nome nel formato default_elb_ id (ad esempio,). default_elb_fc5fbed3-0405-3b7d-a328-ea290EXAMPLE Anche i bilanciatori del carico successivi creati nel VPC predefinito utilizzano questo gruppo di sicurezza. Assicurati di esaminare le regole del gruppo di sicurezza per verificare che consentano il traffico sulle porte del listener e del controllo dello stato per il nuovo load balancer. Quando elimini il load balancer, questo gruppo di sicurezza non viene eliminato automaticamente.

Se si aggiunge un listener a un load balancer esistente, occorre esaminare i gruppi di sicurezza per assicurarsi che consentano il traffico sulla nuova porta del listener in entrambe le direzioni.

Indice

Regole consigliate per gruppi di sicurezza di bilanciamento del carico
Gestione dei gruppo di sicurezza mediante la console
Gestisci i gruppi di sicurezza utilizzando il AWS CLI

Regole consigliate per gruppi di sicurezza di bilanciamento del carico

I gruppi di sicurezza per i bilanciatori del carico devono consentirne la comunicazione con le istanze. Le regole consigliate dipendono dal tipo di bilanciamento del carico (connesso a Internet o interno).

La seguente tabella mostra le regole consigliate per un load balancer connesso a Internet.

Inbound
Source	Protocol	Port Range	Comment
0.0.0.0/0	TCP	`ascoltatore`	Consente tutto il traffico in entrata sulla porta del listener del load balancer
Outbound
Destination	Protocol	Port Range	Comment
`gruppo di sicurezza dell'istanza`	TCP	`listener istanza`	Consente il traffico in uscita verso le istanze sulla porta del listener dell'istanza
`gruppo di sicurezza dell'istanza`	TCP	`controllo dello stato`	Permette il traffico in uscita verso le istanze attraverso la porta di controllo dello stato

La seguente tabella mostra le regole consigliate per un load balancer interno.

Inbound
Source	Protocol	Port Range	Comment
`CIDR VPC`	TCP	`ascoltatore`	Consente il traffico in entrata dal CIDR VPC sulla porta del listener del load balancer.
Outbound
Destination	Protocol	Port Range	Comment
`gruppo di sicurezza dell'istanza`	TCP	`listener istanza`	Consente il traffico in uscita verso le istanze sulla porta del listener dell'istanza
`gruppo di sicurezza dell'istanza`	TCP	`controllo dello stato`	Permette il traffico in uscita verso le istanze attraverso la porta di controllo dello stato

Gestione dei gruppo di sicurezza mediante la console

Utilizza la procedura seguente per modificare i gruppi di sicurezza associati al load balancer in un VPC.

Per aggiornare un gruppo di sicurezza assegnato al sistema di bilanciamento del carico utilizzando la console

Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.
Nel pannello di navigazione, sotto Bilanciamento del carico, scegli Sistemi di bilanciamento del carico.
Scegli il nome del sistema di bilanciamento del carico per aprirne la pagina dei dettagli.
Nella scheda Sicurezza, scegli Modifica.
Nella pagina Modifica i gruppi di sicurezza, in Gruppi di sicurezza, aggiungi o rimuovi i gruppi di sicurezza in base alle esigenze.

Puoi aggiungere fino a cinque gruppi di sicurezza.
Al termine, scegliere Save changes (Salva le modifiche).

Gestisci i gruppi di sicurezza utilizzando il AWS CLI

Utilizza il comando apply-security-groups-to-load-balancer seguente per associare un gruppo di sicurezza a un load balancer in un VPC. I gruppi di sicurezza specificati sovrascrivono i gruppi di sicurezza associati in precedenza.


aws elb apply-security-groups-to-load-balancer --load-balancer-name my-loadbalancer --security-groups sg-53fae93f

Di seguito è riportata una risposta di esempio:


{
  "SecurityGroups": [
     "sg-53fae93f"
  ]
}

Gruppi di sicurezza per istanze in un VPC

I gruppi di sicurezza per le istanze devono consentirne la comunicazione con il load balancer. La seguente tabella mostra le regole consigliate.

Inbound
Source	Protocol	Port Range	Comment
`gruppo di sicurezza del sistema di bilanciamento del carico`	TCP	`listener istanza`	Consente il traffico dal load balancer sulla porta del listener dell'istanza
`gruppo di sicurezza del sistema di bilanciamento del carico`	TCP	`controllo dello stato`	Autorizza il traffico dal load balancer sulla porta di controllo dello stato

Ti consigliamo inoltre di consentire il traffico ICMP in entrata per supportare il rilevamento della MTU del percorso. Per ulteriori informazioni, consulta Path MTU Discovery nella Amazon EC2 User Guide.

Liste di controllo degli accessi di rete per bilanciatori del carico in un VPC

La lista di controllo degli accessi di rete predefinita per il VPC consente tutto il traffico in entrata e in uscita. Se si creano liste di controllo degli accessi di rete personalizzate, occorre aggiungere regole che consentono la comunicazione tra il load balancer e le istanze.

Le regole consigliate per la sottorete per il load balancer dipendono dal tipo di bilanciamento del carico (connesso a Internet o interno).

Di seguito sono riportate le regole consigliate per un load balancer connesso a Internet.

Inbound
Source	Protocol	Port	Comment
0.0.0.0/0	TCP	`ascoltatore`	Consente tutto il traffico in entrata sulla porta del listener del load balancer
`CIDR VPC`	TCP	1024-65535	Consente il traffico in entrata dal CIDR VPC sulle porte temporanee
Outbound
Destination	Protocol	Port	Comment
`CIDR VPC`	TCP	`listener istanza`	Consente tutto il traffico in uscita sulla porta del listener dell'istanza
`CIDR VPC`	TCP	`controllo dello stato`	Consente tutto il traffico in uscita sulla porta di controllo dello stato
0.0.0.0/0	TCP	1024-65535	Consente tutto il traffico in uscita sulle porte temporanee

Di seguito sono riportate le regole consigliate per un load balancer interno.

Inbound
Source	Protocol	Port	Comment
`CIDR VPC`	TCP	`ascoltatore`	Consente il traffico in entrata dal CIDR VPC sulla porta del listener del load balancer.
`CIDR VPC`	TCP	1024-65535	Consente il traffico in entrata dal CIDR VPC sulle porte temporanee
Outbound
Destination	Protocol	Port	Comment
`CIDR VPC`	TCP	`listener istanza`	Consente il traffico in uscita verso il CIDR VPC sulla porta del listener dell'istanza
`CIDR VPC`	TCP	`controllo dello stato`	Consente il traffico in uscita verso il CIDR VPC sulla porta di controllo dello stato
`CIDR VPC`	TCP	1024-65535	Consente il traffico in uscita verso il CIDR VPC sulle porte temporanee

Le regole consigliate per la sottorete per le istanze variano a seconda che la sottorete sia privata o pubblica. Le seguenti regole sono relative a una sottorete privata. Se le istanze si trovano in una sottorete pubblica, modifica l'origine e la destinazione dal CIDR del VPC in 0.0.0.0/0.

Inbound
Source	Protocol	Port	Comment
`CIDR VPC`	TCP	`listener istanza`	Consente il traffico in entrata dal CIDR VPC sulla porta del listener dell'istanza
`CIDR VPC`	TCP	`controllo dello stato`	Consente il traffico in entrata dal CIDR VPC sulla porta di controllo dello stato
Outbound
Destination	Protocol	Port	Comment
`CIDR VPC`	TCP	1024-65535	Consente il traffico in uscita verso il CIDR VPC sulle porte temporanee

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione dei controlli dello stato

Aggiunta o rimozione di sottoreti