As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Grupos de segurança para seu Application Load Balancer
O grupo de segurança do seu Application Load Balancer controla o tráfego que tem permissão para acessar e deixar o balanceador de carga. Você deve garantir que seu load balancer consiga se comunicar com destinos registrados tanto na porta do listener quanto na porta de verificação de integridade. Sempre que você adicionar um listener ao load balancer ou atualizar a porta de verificação de integridade de um grupo de destino usado pelo load balancer para rotear as solicitações, será necessário verificar se os security groups associados ao load balancer permitem tráfego na nova porta em ambas as direções. Caso não façam isso, você poderá editar as regras para os grupos de segurança associados na ocasião ou associar diferentes grupos de segurança ao balanceador de carga. É possível escolher as portas e os protocolos que deseja permitir. Por exemplo, você pode abrir conexões do Internet Control Message Protocol (ICMP) para que o balanceador de carga responda às solicitações de ping (no entanto, as solicitações de ping não são encaminhadas para nenhuma instância).
Regras recomendadas
As regras a seguir são recomendadas para um balanceador de carga voltado para a Internet.
Inbound | ||
---|---|---|
Source | Port Range | Comment |
0.0.0.0/0 |
|
Permite todo o tráfego de entrada na porta do listener do load balancer |
Outbound |
||
Destination | Port Range | Comment |
|
|
Permitir tráfego de saída para instâncias na porta do ouvinte da instância |
|
|
Permitir tráfego de saída para instâncias na porta de verificação de integridade |
A regras a seguir são recomendadas para um balanceador de carga interno.
Inbound | ||
---|---|---|
Source | Port Range | Comment |
|
|
Permitir tráfego de entrada da porta do VPC CIDR ouvinte do balanceador de carga |
Outbound |
||
Destination | Port Range | Comment |
|
|
Permitir tráfego de saída para instâncias na porta do ouvinte da instância |
|
|
Permitir tráfego de saída para instâncias na porta de verificação de integridade |
As regras a seguir são recomendadas para um Application Load Balancer usado como destino de um Network Load Balancer.
Inbound | ||
---|---|---|
Source | Port Range | Comment |
|
|
Permitir todo o tráfego de entrada de cliente na porta do receptor do balanceador de carga. |
|
|
Permitir o tráfego de entrada do cliente pela porta do AWS PrivateLink ouvinte do balanceador de carga |
|
|
Permitir tráfego de entrada de integridade proveniente do Network Load Balancer |
Outbound |
||
Destination | Port Range | Comment |
|
|
Permitir tráfego de saída para instâncias na porta do ouvinte da instância |
|
|
Permitir tráfego de saída para instâncias na porta de verificação de integridade |
Observe que os grupos de segurança do Application Load Balancer usam o rastreamento da conexão para monitorar as informações sobre o tráfego proveniente do Network Load Balancer. Isso acontece independentemente das regras do grupo de segurança definidas para seu Application Load Balancer. Para saber mais sobre o rastreamento de EC2 conexão da Amazon, consulte Rastreamento de conexões de grupos de segurança no Guia EC2 do usuário da Amazon.
Para garantir que seus alvos recebam tráfego exclusivamente do balanceador de carga, restrinja os grupos de segurança associados aos seus alvos para aceitar tráfego somente do balanceador de carga. Isso pode ser feito definindo o grupo de segurança do balanceador de carga como a origem na regra de entrada do grupo de segurança do alvo.
Também recomendamos que você permita que o ICMP tráfego de entrada ofereça suporte ao Path MTU Discovery. Para obter mais informações, consulte Path MTU Discovery no Guia EC2 do usuário da Amazon.
Atualizar os grupos de segurança associados
Você pode atualizar os security groups associados ao seu load balancer a qualquer momento.
Para atualizar security groups usando o console
Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/
. -
No painel de navegação, selecione Balanceador de carga.
-
Selecione o load balancer.
-
Na guia Segurança, escolha Editar.
-
Para associar um security group ao seu load balancer, selecione-o. Para remover uma associação de grupo de segurança, escolha o ícone X para o grupo de segurança.
-
Escolha Salvar alterações.
Para atualizar grupos de segurança usando o AWS CLI
Use o set-security-groupscomando.