网络负载均衡器的安全组 - Elastic Load Balancing

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

网络负载均衡器的安全组

您可以将安全组与网络负载均衡器关联,以控制允许到达和离开负载均衡器的流量。您可以指定允许入站流量的端口、协议和来源,以及允许出站流量的端口、协议和目的地。如果您没有为负载均衡器分配安全组,则所有客户端流量都可以到达负载均衡器侦听器,并且所有流量都可以离开负载均衡器。

您可以向与目标关联的安全组添加规则,该规则引用与网络负载均衡器关联的安全组。这允许客户端通过负载均衡器向目标发送流量,但不会将流量直接发送到您的目标。在与目标关联的安全组中引用与网络负载均衡器关联的安全组,可确保即使对负载均衡器启用了客户端 IP 保留,目标也能接受来自负载均衡器的流量。

您无需为入站安全组规则阻止的流量付费。

注意事项

  • 在创建网络负载均衡器时,您可以将安全组与网络负载均衡器相关联。如果您在创建网络负载均衡器时未关联任何安全组,则以后也无法将其与负载均衡器关联。我们建议您在创建负载均衡器时,将安全组与负载均衡器相关联。

  • 创建网络负载均衡器并关联安全组后,您可以随时更改与负载均衡器关联的安全组。

  • 运行状况检查受出站规则的约束,但不受入站规则的约束。您必须确保出站规则不会阻止运行状况检查流量。否则,负载均衡器会认为目标运行状况不佳。

  • 您可以控制 PrivateLink 流量是否受入站规则的约束。如果您对 PrivateLink 流量启用入站规则,则流量来源是客户端的私有 IP 地址,而不是端点接口。

与网络负载均衡器关联的安全组中的以下入站规仅允许来自指定地址范围的流量。如果这是内部负载均衡器,则可以指定 VPC CIDR 范围作为来源,以仅允许来自特定 VPC 的流量。如果这是面向互联网的负载均衡器,其必须接受来自互联网任何位置的流量,则可以指定 0.0.0.0/0 作为来源。

入站
协议 来源 端口范围 注释
protocol 客户端 IP 地址范围 侦听器端口 在侦听器端口上允许来自源 CIDR 的入站流量
ICMP 0.0.0.0/0 全部 允许入站 ICMP 流量,以支持 MTU 或路径 MTU 发现 †

† 有关更多信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的路径 MTU 发现

出站
协议 目标位置 端口范围 注释
全部 Anywhere 全部 允许所有出站流量

假设您的网络负载均衡器有安全组 sg-111112222233333。在与目标实例关联的安全组中使用以下规则,确保它们仅接受来自网络负载均衡器的流量。您必须确保目标在目标端口和运行状况检查端口上都接受来自负载均衡器的流量。有关更多信息,请参阅 目标安全组

入站
协议 来源 端口范围 注释
protocol sg-111112222233333 目标端口 在目标端口上允许来自负载均衡器的入站流量
protocol sg-111112222233333 运行状况检查 在运行状况检查端口上允许来自负载均衡器的入站流量
出站
协议 目标位置 端口范围 注释
全部 Anywhere 任何 允许所有出站流量

更新关联的安全组

如果您在创建负载均衡器时,将至少一个安全组与该负载均衡器关联,则可以随时更新该负载均衡器的安全组。

使用控制台更新安全组
  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的 Load Balancing(负载均衡)下,选择 Load Balancers(负载均衡器)。

  3. 选择负载均衡器。

  4. 安全性选项卡上,选择编辑

  5. 要将一个安全组与负载均衡器关联,请选择此安全组。要从负载均衡器中删除一个安全组,请清除该安全组。

  6. 选择保存更改

要使用更新安全组 AWS CLI

使用 set-security-groups 命令。

更新安全设置

默认情况下,我们将入站安全组规则应用于发送到负载均衡器的所有流量。但是,您可能不想将这些规则应用于通过负载均衡器发送的流量 AWS PrivateLink,这些流量可能来自重叠的 IP 地址。在这种情况下,您可以配置负载均衡器,这样我们就不会对通过发送到负载均衡器的流量应用入站规则 AWS PrivateLink。

使用控制台更新安全设置
  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的 Load Balancing(负载均衡)下,选择 Load Balancers(负载均衡器)。

  3. 选择负载均衡器。

  4. 安全性选项卡上,选择编辑

  5. 在 “安全” 设置下,清除 “对 PrivateLink 流量强制执行入站规则”

  6. 选择保存更改

要更新安全设置,请使用 AWS CLI

使用 set-security-groups 命令。

监控负载均衡器安全组

使用SecurityGroupBlockedFlowCount_InboundSecurityGroupBlockedFlowCount_Outbound CloudWatch 指标来监控被负载均衡器安全组阻止的流量数量。被阻止的流量未反映在其他指标中。有关更多信息,请参阅 CloudWatch 您的 Network Load Balancer 的指标

使用 VPC 流日志来监控负载均衡器安全组接受或拒绝的流量。有关更多信息,请参阅 Amazon VPC 用户指南中的 VPC 流日志