Grupos de segurança para seu Application Load Balancer - Elastic Load Balancing
Regras recomendadasAtualizar os grupos de segurança associados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Grupos de segurança para seu Application Load Balancer

O grupo de segurança do seu Application Load Balancer controla o tráfego que tem permissão para acessar e deixar o balanceador de carga. Você deve garantir que seu load balancer consiga se comunicar com destinos registrados tanto na porta do listener quanto na porta de verificação de integridade. Sempre que você adicionar um listener ao load balancer ou atualizar a porta de verificação de integridade de um grupo de destino usado pelo load balancer para rotear as solicitações, será necessário verificar se os security groups associados ao load balancer permitem tráfego na nova porta em ambas as direções. Caso não façam isso, você poderá editar as regras para os grupos de segurança associados na ocasião ou associar diferentes grupos de segurança ao balanceador de carga. É possível escolher as portas e os protocolos que deseja permitir. Por exemplo, você pode abrir conexões ICMP (Internet Control Message Protocol) para o load balancer responder às solicitações de ping (no entanto, as solicitações de ping não são encaminhadas a nenhuma instância).

Considerações

  • Para garantir que seus destinos recebam tráfego exclusivamente do balanceador de carga, restrinja os grupos de segurança associados aos seus destinos para aceitar tráfego somente do balanceador de carga. Isso pode ser feito definindo o grupo de segurança do balanceador de carga como a origem na regra de entrada do grupo de segurança do destino.

  • Se o Application Load Balancer for o alvo de um Network Load Balancer, os grupos de segurança do Application Load Balancer usam o rastreamento de conexão para rastrear informações sobre o tráfego proveniente do Network Load Balancer. Isso acontece independentemente das regras do grupo de segurança definidas para seu Application Load Balancer. Para obter mais informações, consulte Rastreamento de conexão de grupos de segurança no Guia EC2 do usuário da Amazon.

  • Recomendamos que você permita que o tráfego ICMP de entrada ofereça suporte ao Path MTU Discovery. Para obter mais informações, consulte Path MTU Discovery no Guia do EC2 usuário da Amazon.

As regras a seguir são recomendadas para um balanceador de carga voltado para a Internet com instâncias como destinos.

Inbound
Source Port Range Comment

0.0.0.0/0

listener

Permite todo o tráfego de entrada na porta do listener do load balancer

Outbound

Destination Port Range Comment

instance security group

instance listener

Permitir tráfego de saída para instâncias na porta do ouvinte da instância

instance security group

health check

Permitir tráfego de saída para instâncias na porta de verificação de integridade

As regras a seguir são recomendadas para um balanceador de carga interno com instâncias como destinos.

Inbound
Source Port Range Comment

VPC CIDR

listener

Permite tráfego de entrada do CIDR da VPC na porta do listener do load balancer

Outbound

Destination Port Range Comment

instance security group

instance listener

Permitir tráfego de saída para instâncias na porta do ouvinte da instância

instance security group

health check

Permitir tráfego de saída para instâncias na porta de verificação de integridade

As regras a seguir são recomendadas para um Application Load Balancer com instâncias como destinos que, por si só, são alvos de um Network Load Balancer.

Inbound
Source Port Range Comment

client IP addresses/CIDR

alb listener

Permitir todo o tráfego de entrada de cliente na porta do receptor do balanceador de carga.

VPC CIDR

alb listener

Permitir o tráfego de entrada do cliente pela porta do AWS PrivateLink ouvinte do balanceador de carga

VPC CIDR

alb listener

Permitir tráfego de entrada de integridade proveniente do Network Load Balancer

Outbound

Destination Port Range Comment

instance security group

instance listener

Permitir tráfego de saída para instâncias na porta do ouvinte da instância

instance security group

health check

Permitir tráfego de saída para instâncias na porta de verificação de integridade

Atualizar os grupos de segurança associados

Você pode atualizar os security groups associados ao seu load balancer a qualquer momento.

Console
Para atualizar grupos de segurança

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Balanceador de carga.

  3. Selecione o load balancer.

  4. Na guia Segurança, escolha Editar.

  5. Para associar um security group ao seu load balancer, selecione-o. Para remover uma associação de grupo de segurança, escolha o ícone X para o grupo de segurança.

  6. Escolha Salvar alterações.

AWS CLI
Para atualizar grupos de segurança

Use o comando set-security-groups.

aws elbv2 set-security-groups \
    --load-balancer-arn load-balancer-arn \
    --security-groups sg-01dd3383691d02f42 sg-00f4e409629f1a42d
CloudFormation
Para atualizar grupos de segurança

Atualize o AWS::ElasticLoadBalancingV2::LoadBalancerrecurso.

Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-alb
      Type: application
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
        - !Ref myNewSecurityGroup