Gruppi di sicurezza per il Network Load Balancer - Sistema di bilanciamento del carico elastico
ConsiderazioniEsempio: filtraggio del traffico clientEsempio: accetta traffico solo dal sistema di bilanciamento del caricoAggiornamento dei gruppi di sicurezza associatiAggiornamento delle impostazioni di sicurezzaMonitoraggio dei gruppi di sicurezza del sistema di bilanciamento del carico

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gruppi di sicurezza per il Network Load Balancer

Puoi associare un gruppo di sicurezza al Network Load Balancer per controllare il traffico che può raggiungere e lasciare il sistema di bilanciamento del carico. Specifica le porte, i protocolli e le origini per consentire il traffico in entrata e le porte, i protocolli e le destinazioni per consentire il traffico in uscita. Se non assegni un gruppo di sicurezza al sistema di bilanciamento del carico, tutto il traffico client può raggiungere gli ascoltatori del sistema di bilanciamento del carico e tutto il traffico può uscire dal sistema di bilanciamento del carico.

Puoi aggiungere una regola ai gruppi di sicurezza associati alle destinazioni che faccia riferimento al gruppo di sicurezza associato al Network Load Balancer. Ciò consente ai client di inviare traffico alle destinazioni esclusivamente tramite il sistema di bilanciamento del carico, non in modo diretto. Il riferimento al gruppo di sicurezza associato al Network Load Balancer nei gruppi di sicurezza associati alle destinazioni garantisce che le destinazioni accettino il traffico proveniente dal sistema di bilanciamento del carico anche se si abilita la conservazione dell'IP client per il sistema di bilanciamento del carico.

Il traffico bloccato dalle regole in entrata dei gruppi di sicurezza non viene addebitato.

Considerazioni

  • Puoi associare i gruppi di sicurezza a un Network Load Balancer al momento della creazione. Se non associ un gruppo di sicurezza a un Network Load Balancer al momento della creazione, non puoi associarlo in un secondo momento. Ti consigliamo di associare un gruppo di sicurezza al sistema di bilanciamento del carico al momento della creazione.

  • Dopo aver creato un Network Load Balancer con i gruppi di sicurezza associati, puoi modificare i gruppi di sicurezza associati al sistema di bilanciamento del carico in qualsiasi momento.

  • I controlli dell'integrità sono soggetti alle regole in uscita, ma non a quelle in entrata. Assicurati che le regole in uscita non blocchino il traffico relativo ai controlli dell'integrità. In caso contrario, il sistema di bilanciamento del carico considera le destinazioni non integre.

  • È possibile controllare se il PrivateLink traffico è soggetto alle regole in entrata. Se abiliti le regole in entrata sul PrivateLink traffico, l'origine del traffico è l'indirizzo IP privato del client, non l'interfaccia dell'endpoint.

Le seguenti regole in entrata nel gruppo di sicurezza associato al Network Load Balancer consentono solo il traffico proveniente dall'intervallo di indirizzi specificato. Nel caso di un sistema di bilanciamento del carico interno, puoi specificare come origine un intervallo CIDR VPC, in modo da consentire solo il traffico proveniente da un VPC specifico. Nel caso di un sistema di bilanciamento del carico con connessione Internet che deve accettare traffico da qualsiasi punto della rete, puoi specificare 0.0.0.0/0 come origine.

In entrata
Protocollo Origine Intervallo porte Commento
protocol intervallo di indirizzi IP client porta dell'ascoltatore Consente il traffico in entrata dal CIDR di origine sulla porta dell'ascoltatore
ICMP 0.0.0.0/0 Tutti Consente al traffico ICMP in entrata di supportare la MTU o il rilevamento della MTU del percorso †

† Per ulteriori informazioni, consulta Path MTU Discovery nella Amazon EC2 User Guide.

In uscita
Protocollo Destinazione Intervallo porte Commento
Tutti Ovunque Tutti Autorizza tutto il traffico in uscita

Supponiamo che il Network Load Balancer disponga di un gruppo di sicurezza sg-111112222233333. Utilizza le seguenti regole nei gruppi di sicurezza associati alle istanze di destinazione per assicurarti che accettino traffico solo dal Network Load Balancer. Devi assicurarti che le destinazioni accettino il traffico dal sistema di bilanciamento del carico sia sulla porta di destinazione che sulla porta di controllo dell'integrità. Per ulteriori informazioni, consulta Gruppi di sicurezza target.

In entrata
Protocollo Origine Intervallo porte Commento
protocol sg-111112222233333 porta di destinazione Consente il traffico in entrata dal sistema di bilanciamento del carico sulla porta di destinazione
protocol sg-111112222233333 controllo dello stato Consente il traffico in entrata dal sistema di bilanciamento del carico sulla porta di controllo dell'integrità
In uscita
Protocollo Destinazione Intervallo porte Commento
Tutti Ovunque Qualsiasi Autorizza tutto il traffico in uscita

Aggiornamento dei gruppi di sicurezza associati

Se al momento della creazione hai associato almeno un gruppo di sicurezza a un sistema di bilanciamento del carico, puoi aggiornare i relativi gruppi di sicurezza in qualsiasi momento.

Per aggiornare i gruppi di sicurezza utilizzando la console

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, sotto Load Balancing (Bilanciamento del carico), scegli Load Balancers (Load balancer).

  3. Selezionare il load balancer.

  4. Nella scheda Sicurezza, scegli Modifica.

  5. Per associare un gruppo di sicurezza al sistema di bilanciamento del carico, selezionalo. Per rimuovere un gruppo di sicurezza dal sistema di bilanciamento del carico, deselezionalo.

  6. Seleziona Salvataggio delle modifiche.

Per aggiornare i gruppi di sicurezza utilizzando il AWS CLI

Utilizza il comando set-security-group.

Aggiornamento delle impostazioni di sicurezza

Per impostazione predefinita, le regole in entrata del gruppo di sicurezza vengono applicate a tutto il traffico inviato al sistema di bilanciamento del carico. Tuttavia, potresti non voler applicare queste regole al traffico inviato al sistema di bilanciamento del carico AWS PrivateLink, che può provenire dalla sovrapposizione di indirizzi IP. In questo caso, puoi configurare il sistema di bilanciamento del carico in modo da non applicare le regole in entrata per il traffico inviato al sistema di bilanciamento del carico tramite. AWS PrivateLink

Per aggiornare le impostazioni di sicurezza utilizzando la console

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, sotto Load Balancing (Bilanciamento del carico), scegli Load Balancers (Load balancer).

  3. Selezionare il load balancer.

  4. Nella scheda Sicurezza, scegli Modifica.

  5. In Impostazioni di sicurezza, deseleziona Applica le regole in entrata al traffico. PrivateLink

  6. Seleziona Salvataggio delle modifiche.

Per aggiornare le impostazioni di sicurezza utilizzando il AWS CLI

Utilizza il comando set-security-group.

Monitoraggio dei gruppi di sicurezza del sistema di bilanciamento del carico

Utilizza le SecurityGroupBlockedFlowCount_Outbound CloudWatch metriche SecurityGroupBlockedFlowCount_Inbound and per monitorare il conteggio dei flussi bloccati dai gruppi di sicurezza del load balancer. Il traffico bloccato non si riflette in altri parametri. Per ulteriori informazioni, consulta CloudWatch metriche per il tuo Network Load Balancer.

Utilizza i log di flusso VPC per monitorare il traffico accettato o rifiutato dai gruppi di sicurezza del sistema di bilanciamento del carico. Per ulteriori informazioni, consulta Log di flusso VPC nella Guida per l'utente di Amazon VPC.