Application Load Balancer 보안 그룹 - Elastic Load Balancing
권장 규칙연결된 보안 그룹 업데이트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Application Load Balancer 보안 그룹

Application Load Balancer를 위한 보안 그룹은 로드 밸런서에 도달하고 나갈 수 있는 트래픽을 제어할 수 있습니다. 로드 밸런서가 리스너 포트 및 상태 확인 포트에서 등록된 대상과 통신을 할 수 있는지 확인해야 합니다. 로드 밸런서에 리스너를 추가하거나 로드 밸런서가 요청을 라우팅하기 위해 사용하는 대상 그룹의 상태 확인 포트를 업데이트할 때마다 로드 밸런서와 연결된 보안 그룹이 새로운 포트에서 양방향 트래픽을 허용하는지 확인해야 합니다. 그렇지 않은 경우 현재 연결된 보안 그룹의 규칙을 편집하거나 여러 보안 그룹을 로드 밸런서와 연결할 수 있습니다. 인바운드 트래픽을 허용하는 포트 및 프로토콜을 선택할 수 있습니다. 예를 들어 로드 밸런서가 ping 요청에 응답하도록 ICMP(인터넷 제어 메시지 프로토콜) 연결을 열 수 있습니다(한편 ping 요청은 어떤 인스턴스에도 전달되지 않음).

고려 사항

  • 대상이 로드 밸런서에서만 트래픽을 수신하도록 하려면 로드 밸런서로부터의 트래픽만 수락하도록 대상과 연결된 보안 그룹을 제한합니다. 대상의 보안 그룹의 수신 규칙에서 로드 밸런서의 보안 그룹을 소스로 설정하여 이 작업을 수행할 수 있습니다.

  • Application Load Balancer가 Network Load Balancer의 대상인 경우 Application Load Balancer의 보안 그룹은 연결 추적을 사용하여 Network Load Balancer에서 들어오는 트래픽에 대한 정보를 추적합니다. 이는 Application Load Balancer에 설정된 보안 그룹 규칙에 관계없이 발생합니다. 자세한 내용은 Amazon EC2 사용 설명서의 보안 그룹 연결 추적을 참조하세요.

  • 경로 MTU 검색을 지원하려면 인바운드 ICMP 트래픽을 허용하는 것이 좋습니다. 자세한 내용은 Amazon EC2 사용 설명서경로 MTU 검색을 참조하세요.

다음 규칙은 인스턴스를 대상으로 하는 인터넷 경계 로드 밸런서에 권장됩니다.

Inbound
소스 포트 범위 Comment

0.0.0.0/0

리스너

로드 밸런서 리스너 포트에서 모든 인바운드 트래픽을 허용

Outbound

대상 주소 포트 범위 Comment

인스턴스 보안 그룹

인스턴스 리스너

인스턴스 리스너 포트의 인스턴스로 아웃바운드 트래픽을 허용합니다

인스턴스 보안 그룹

상태 확인

상태 확인 포트의 인스턴스로 아웃바운드 트래픽을 허용합니다

다음 규칙은 인스턴스를 대상으로 하는 내부 로드 밸런서에 권장됩니다.

Inbound
소스 포트 범위 Comment

VPC CIDR

리스너

로드 밸런서 리스너 포트에서 VPC CIDR에서 오는 인바운드 트래픽을 허용

Outbound

대상 주소 포트 범위 Comment

인스턴스 보안 그룹

인스턴스 리스너

인스턴스 리스너 포트의 인스턴스로 아웃바운드 트래픽을 허용합니다

인스턴스 보안 그룹

상태 확인

상태 확인 포트의 인스턴스로 아웃바운드 트래픽을 허용합니다

인스턴스가 Network Application Load Balancer의 대상인 Application Load Balancer에는 다음 규칙이 권장됩니다.

Inbound
소스 포트 범위 설명

클라이언트 IP 주소/CIDR

alb 리스너

로드 밸런서 리스너 포트에서 인바운드 트래픽을 허용합니다.

VPC CIDR

alb 리스너

로드 밸런서 리스너 포트 AWS PrivateLink 에서를 통한 인바운드 클라이언트 트래픽 허용

VPC CIDR

alb 리스너

Network Load Balancer로부터의 인바운드 상태 트래픽 허용

Outbound

대상 포트 범위 Comment

인스턴스 보안 그룹

인스턴스 리스너

인스턴스 리스너 포트의 인스턴스로 아웃바운드 트래픽을 허용합니다

인스턴스 보안 그룹

상태 확인

상태 확인 포트의 인스턴스로 아웃바운드 트래픽을 허용합니다

연결된 보안 그룹 업데이트

로드밸런서와 연결된 보안 그룹을 언제든지 업데이트할 수 있습니다.

Console
보안 그룹을 업데이트하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 로드 밸런서를 선택합니다.

  3. 로드 밸런서를 선택합니다.

  4. 보안 탭에서 편집을 선택합니다.

  5. 로드 밸런서에 보안 그룹을 연결하려면 보안 그룹을 선택합니다. 보안 그룹 연결을 제거하려면 해당 보안 그룹의 X 아이콘을 선택합니다.

  6. 변경 사항 저장을 선택합니다.

AWS CLI
보안 그룹을 업데이트하려면

set-security-groups 명령을 사용합니다.

aws elbv2 set-security-groups \
    --load-balancer-arn load-balancer-arn \
    --security-groups sg-01dd3383691d02f42 sg-00f4e409629f1a42d
CloudFormation
보안 그룹을 업데이트하려면

AWS::ElasticLoadBalancingV2::LoadBalancer 리소스를 업데이트합니다.

Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-alb
      Type: application
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
        - !Ref myNewSecurityGroup