Elastic Load Balancing
Application Load Balancer

Application Load Balancer のセキュリティグループ

ロードバランサーが、リスナーポートとヘルスチェックポートの両方で、登録済みターゲットと通信できることを確認する必要があります。ロードバランサーにリスナーを追加するか、リクエストをルーティングするためにロードバランサーにより使用されるターゲットグループのヘルスチェックポートを更新する場合は必ず、ロードバランサーに関連付けられたセキュリティグループが新しいポートで両方向のトラフィックを許可することを確認する必要があります。許可しない場合、現在関連付けられているセキュリティグループのルールを編集するか、別のセキュリティグループをロードバランサーに関連付けることができます。

推奨ルールは、ロードバランサーのタイプ (インターネット向けまたは内部向け) によって異なります。

インターネット接続ロードバランサー

Inbound
Source Port Range Comment

0.0.0.0/0

リスナー

ロードバランサーのリスナーポートですべてのインバウンドトラフィックを許可する

Outbound

Destination Port Range Comment

インスタンスセキュリティグループ

インスタンスリスナー

インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する

インスタンスセキュリティグループ

ヘルスチェック

ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する

内部ロードバランサー

Inbound
Source Port Range Comment

VPC CIDR

リスナー

ロードバランサーのリスナーポートで VPC CIDR からのインバウンドトラフィックを許可する

Outbound

Destination Port Range Comment

インスタンスセキュリティグループ

インスタンスリスナー

インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する

インスタンスセキュリティグループ

ヘルスチェック

ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する

また、パス MTU 検出をサポートするため、インバウンド ICMP トラフィックを許可することをお勧めします。詳細については、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「パス MTU 検出」を参照してください。

関連付けられたセキュリティグループの更新

ロードバランサーに関連付けられたセキュリティグループは、いつでも更新できます。

コンソールを使用してセキュリティグループの更新するには

  1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインの [LOAD BALANCING] で [Load Balancers] を選択します。

  3. ロードバランサーを選択します。

  4. [Description] タブの [Security] で、[Edit security groups] を選択します。

  5. セキュリティグループをロードバランサーに関連付けるには、そのセキュリティグループを選択します。セキュリティグループをロードバランサーから削除するには、そのセキュリティグループを選択解除します。

  6. [Save] を選択します。

AWS CLI を使用してセキュリティグループを更新するには

set-security-groups コマンドを使用します。