Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dei gruppi di sicurezza per Classic Load Balancer
Un gruppo di sicurezza agisce come un firewall che controlla il traffico consentito verso o da una o più istanze. Quando avvii un'istanza EC2, puoi associare ad essa uno o più gruppi di sicurezza. Per ogni gruppo di sicurezza, aggiungi una o più regole per consentire il traffico. Puoi modificare le regole per un gruppo di sicurezza in qualunque momento; le nuove regole vengono applicate automaticamente a tutte le istanze associate al gruppo di sicurezza. Per ulteriori informazioni, consulta i gruppi di sicurezza di Amazon EC2 nella Guida per l'utente di Amazon EC2.
Indice
Gruppi di sicurezza per bilanciatori del carico in un VPC
Quando si utilizza il AWS Management Console per creare un sistema di bilanciamento del carico in un VPC, è possibile scegliere un gruppo di sicurezza esistente per il VPC o creare un nuovo gruppo di sicurezza per il VPC. Se si sceglie un gruppo di sicurezza esistente, occorre consentire il traffico in entrambe le direzioni al listener e alle porte del controllo dello stato per il load balancer. Se si sceglie di creare un gruppo di sicurezza, la console aggiunge automaticamente le regole per consentire tutto il traffico su queste porte.
[VPC non predefinito] Se si utilizza AWS CLI l'API o si crea un sistema di bilanciamento del carico in un VPC non predefinito, ma non si specifica un gruppo di sicurezza, il sistema di bilanciamento del carico viene automaticamente associato al gruppo di sicurezza predefinito per il VPC.
[VPC predefinito] Se utilizzi l'API AWS CLI or per creare un sistema di bilanciamento del carico nel tuo VPC predefinito, non puoi scegliere un gruppo di sicurezza esistente per il tuo sistema di bilanciamento del carico. In alternativa, Elastic Load Balancing fornisce un gruppo di sicurezza con regole per consentire tutto il traffico sulle porte specificate per il load balancer. Elastic Load Balancing crea un solo gruppo di sicurezza di questo tipo per AWS account, con un nome nel formato default_elb_ id (ad esempio,).
default_elb_fc5fbed3-0405-3b7d-a328-ea290EXAMPLE
Anche i bilanciatori del carico successivi creati nel VPC predefinito utilizzano questo gruppo di sicurezza. Assicurati di esaminare le regole del gruppo di sicurezza per verificare che consentano il traffico sulle porte del listener e del controllo dello stato per il nuovo load balancer. Quando elimini il load balancer, questo gruppo di sicurezza non viene eliminato automaticamente.
Se si aggiunge un listener a un load balancer esistente, occorre esaminare i gruppi di sicurezza per assicurarsi che consentano il traffico sulla nuova porta del listener in entrambe le direzioni.
Indice
Regole consigliate per gruppi di sicurezza di bilanciamento del carico
I gruppi di sicurezza per i bilanciatori del carico devono consentirne la comunicazione con le istanze. Le regole consigliate dipendono dal tipo di bilanciamento del carico (connesso a Internet o interno).
La seguente tabella mostra le regole consigliate per un load balancer connesso a Internet.
Inbound | |||
---|---|---|---|
Source | Protocol | Port Range | Comment |
0.0.0.0/0 |
TCP |
|
Consente tutto il traffico in entrata sulla porta del listener del load balancer |
Outbound |
|||
Destination | Protocol | Port Range | Comment |
|
TCP |
|
Consente il traffico in uscita verso le istanze sulla porta del listener dell'istanza |
|
TCP |
|
Permette il traffico in uscita verso le istanze attraverso la porta di controllo dello stato |
La seguente tabella mostra le regole consigliate per un load balancer interno.
Inbound | |||
---|---|---|---|
Source | Protocol | Port Range | Comment |
|
TCP |
|
Consente il traffico in entrata dal CIDR VPC sulla porta del listener del load balancer. |
Outbound |
|||
Destination | Protocol | Port Range | Comment |
|
TCP |
|
Consente il traffico in uscita verso le istanze sulla porta del listener dell'istanza |
|
TCP |
|
Permette il traffico in uscita verso le istanze attraverso la porta di controllo dello stato |
Gestione dei gruppo di sicurezza mediante la console
Utilizza la procedura seguente per modificare i gruppi di sicurezza associati al load balancer in un VPC.
Per aggiornare un gruppo di sicurezza assegnato al sistema di bilanciamento del carico utilizzando la console
Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/
. -
Nel pannello di navigazione, sotto Bilanciamento del carico, scegli Sistemi di bilanciamento del carico.
-
Scegli il nome del sistema di bilanciamento del carico per aprirne la pagina dei dettagli.
-
Nella scheda Sicurezza, scegli Modifica.
-
Nella pagina Modifica i gruppi di sicurezza, in Gruppi di sicurezza, aggiungi o rimuovi i gruppi di sicurezza in base alle esigenze.
Puoi aggiungere fino a cinque gruppi di sicurezza.
-
Al termine, scegliere Save changes (Salva le modifiche).
Gestisci i gruppi di sicurezza utilizzando il AWS CLI
Utilizza il comando apply-security-groups-to-load-balancer seguente per associare un gruppo di sicurezza a un load balancer in un VPC. I gruppi di sicurezza specificati sovrascrivono i gruppi di sicurezza associati in precedenza.
aws elb apply-security-groups-to-load-balancer --load-balancer-name
my-loadbalancer
--security-groupssg-53fae93f
Di seguito è riportata una risposta di esempio:
{
"SecurityGroups": [
"sg-53fae93f"
]
}
Gruppi di sicurezza per istanze in un VPC
I gruppi di sicurezza per le istanze devono consentirne la comunicazione con il load balancer. La seguente tabella mostra le regole consigliate.
Inbound | |||
---|---|---|---|
Source | Protocol | Port Range | Comment |
|
TCP |
|
Consente il traffico dal load balancer sulla porta del listener dell'istanza |
|
TCP |
|
Autorizza il traffico dal load balancer sulla porta di controllo dello stato |
Ti consigliamo inoltre di consentire il traffico ICMP in entrata per supportare il rilevamento della MTU del percorso. Per ulteriori informazioni, consulta Path MTU Discovery nella Amazon EC2 User Guide.
Liste di controllo degli accessi di rete per bilanciatori del carico in un VPC
La lista di controllo degli accessi di rete predefinita per il VPC consente tutto il traffico in entrata e in uscita. Se si creano liste di controllo degli accessi di rete personalizzate, occorre aggiungere regole che consentono la comunicazione tra il load balancer e le istanze.
Le regole consigliate per la sottorete per il load balancer dipendono dal tipo di bilanciamento del carico (connesso a Internet o interno).
Di seguito sono riportate le regole consigliate per un load balancer connesso a Internet.
Inbound | |||
---|---|---|---|
Source | Protocol | Port | Comment |
0.0.0.0/0 |
TCP |
|
Consente tutto il traffico in entrata sulla porta del listener del load balancer |
|
TCP |
1024-65535 |
Consente il traffico in entrata dal CIDR VPC sulle porte temporanee |
Outbound |
|||
Destination | Protocol | Port | Comment |
|
TCP |
|
Consente tutto il traffico in uscita sulla porta del listener dell'istanza |
|
TCP |
|
Consente tutto il traffico in uscita sulla porta di controllo dello stato |
0.0.0.0/0 |
TCP |
1024-65535 |
Consente tutto il traffico in uscita sulle porte temporanee |
Di seguito sono riportate le regole consigliate per un load balancer interno.
Inbound | |||
---|---|---|---|
Source | Protocol | Port | Comment |
|
TCP |
|
Consente il traffico in entrata dal CIDR VPC sulla porta del listener del load balancer. |
|
TCP |
1024-65535 |
Consente il traffico in entrata dal CIDR VPC sulle porte temporanee |
Outbound |
|||
Destination | Protocol | Port | Comment |
|
TCP |
|
Consente il traffico in uscita verso il CIDR VPC sulla porta del listener dell'istanza |
|
TCP |
|
Consente il traffico in uscita verso il CIDR VPC sulla porta di controllo dello stato |
|
TCP |
1024-65535 |
Consente il traffico in uscita verso il CIDR VPC sulle porte temporanee |
Le regole consigliate per la sottorete per le istanze variano a seconda che la sottorete sia privata o pubblica. Le seguenti regole sono relative a una sottorete privata. Se le istanze si trovano in una sottorete pubblica, modifica l'origine e la destinazione dal CIDR del VPC in 0.0.0.0/0
.
Inbound | |||
---|---|---|---|
Source | Protocol | Port | Comment |
|
TCP |
|
Consente il traffico in entrata dal CIDR VPC sulla porta del listener dell'istanza |
|
TCP |
|
Consente il traffico in entrata dal CIDR VPC sulla porta di controllo dello stato |
Outbound |
|||
Destination | Protocol | Port | Comment |
|
TCP |
1024-65535 |
Consente il traffico in uscita verso il CIDR VPC sulle porte temporanee |