Application Load Balancer 보안 그룹 - Elastic Load Balancing
권장 규칙연결된 보안 그룹 업데이트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Application Load Balancer 보안 그룹

Application Load Balancer를 위한 보안 그룹은 로드 밸런서에 도달하고 나갈 수 있는 트래픽을 제어할 수 있습니다. 로드 밸런서가 리스너 포트 및 상태 확인 포트에서 등록된 대상과 통신을 할 수 있는지 확인해야 합니다. 로드 밸런서에 리스너를 추가하거나 로드 밸런서가 요청을 라우팅하기 위해 사용하는 대상 그룹의 상태 확인 포트를 업데이트할 때마다 로드 밸런서와 연결된 보안 그룹이 새로운 포트에서 양방향 트래픽을 허용하는지 확인해야 합니다. 그렇지 않은 경우 현재 연결된 보안 그룹의 규칙을 편집하거나 여러 보안 그룹을 로드 밸런서와 연결할 수 있습니다. 인바운드 트래픽을 허용하는 포트 및 프로토콜을 선택할 수 있습니다. 예를 들어 로드 밸런서가 ping 요청에 응답하도록 ICMP(인터넷 제어 메시지 프로토콜) 연결을 열 수 있습니다(한편 ping 요청은 어떤 인스턴스에도 전달되지 않음).

다음은 인터넷 경계 로드 밸런서에 대한 권장 규칙입니다.

Inbound
소스 포트 범위 Comment

0.0.0.0/0

리스너

로드 밸런서 리스너 포트에서 모든 인바운드 트래픽을 허용

Outbound

대상 주소 포트 범위 Comment

인스턴스 보안 그룹

인스턴스 리스너

인스턴스 리스너 포트의 인스턴스로 아웃바운드 트래픽을 허용합니다

인스턴스 보안 그룹

상태 확인

상태 확인 포트의 인스턴스로 아웃바운드 트래픽을 허용합니다

다음은 내부 로드 밸런서에 대한 권장 규칙입니다.

Inbound
소스 포트 범위 Comment

VPC CIDR

리스너

로드 밸런서 리스너 포트에서 VPC CIDR에서 오는 인바운드 트래픽을 허용

Outbound

대상 주소 포트 범위 Comment

인스턴스 보안 그룹

인스턴스 리스너

인스턴스 리스너 포트의 인스턴스로 아웃바운드 트래픽을 허용합니다

인스턴스 보안 그룹

상태 확인

상태 확인 포트의 인스턴스로 아웃바운드 트래픽을 허용합니다

Network Load Balancer의 대상으로 사용되는 Application Load Balancer에 대해 다음 규칙을 권장합니다.

Inbound
소스 포트 범위 설명

클라이언트 IP 주소/CIDR

alb 리스너

로드 밸런서 리스너 포트에서 인바운드 트래픽을 허용합니다.

VPC CIDR

alb 리스너

로드 밸런서 리스너 포트를 통한 AWS PrivateLink 인바운드 클라이언트 트래픽 허용

VPC CIDR

alb 리스너

Network Load Balancer로부터의 인바운드 상태 트래픽 허용

Outbound

대상 포트 범위 Comment

인스턴스 보안 그룹

인스턴스 리스너

인스턴스 리스너 포트의 인스턴스로 아웃바운드 트래픽을 허용합니다

인스턴스 보안 그룹

상태 확인

상태 확인 포트의 인스턴스로 아웃바운드 트래픽을 허용합니다

Application Load Balancer에 대한 보안 그룹은 연결 추적을 사용하여 Network Load Balancer로부터 들어오는 트래픽에 대한 정보를 추적합니다. 이는 Application Load Balancer에 설정된 보안 그룹 규칙에 관계없이 발생합니다. Amazon EC2 연결 추적에 대한 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서보안 그룹 연결 추적을 참조하세요.

대상이 로드 밸런서에서만 트래픽을 수신하도록 하려면 대상과 연결된 보안 그룹이 로드 밸런서로부터의 트래픽만 수락하도록 제한하십시오. 이는 대상 보안 그룹의 인그레스 규칙에서 로드 밸런서의 보안 그룹을 원본으로 설정하여 달성할 수 있습니다.

인바운드 ICMP 트래픽이 경로 MTU 검색을 지원하도록 허용하는 것이 좋습니다. 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서경로 MTU 검색을 참조하세요.

연결된 보안 그룹 업데이트

로드밸런서와 연결된 보안 그룹을 언제든지 업데이트할 수 있습니다.

콘솔을 사용하여 보안 그룹을 업데이트하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 로드 밸런서를 선택합니다.

  3. 로드 밸런서를 선택합니다.

  4. 보안 탭에서 편집을 선택합니다.

  5. 로드 밸런서에 보안 그룹을 연결하려면 보안 그룹을 선택합니다. 보안 그룹 연결을 제거하려면 해당 보안 그룹의 X 아이콘을 선택합니다.

  6. 변경 사항 저장를 선택합니다.

를 사용하여 보안 그룹을 업데이트하려면 AWS CLI

set-security-groups 명령을 사용합니다.