Application Load Balancer 的安全群組 - Elastic Load Balancing

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Application Load Balancer 的安全群組

Application Load Balancer 的安全群組會控制允許到達和離開負載平衡器的流量。您必須確保負載平衡器可以在接聽程式連接埠和運作狀態檢查連接埠上與已註冊的目標通訊。當您將接聽程式新增到負載平衡器,或針對目標群組更新負載平衡器用來路由請求的運作狀態檢查連接埠時,您必須確認與負載平衡器相關聯的安全群組在新的連接埠上允許這兩個方向的流量。如果不是如此,您可以編輯目前相關聯之安全群組的規則,或將其他安全群組與負載平衡器建立關聯。您可以選擇要允許的連接埠和通訊協定。例如,您可以開放網際網路控制訊息通訊協定 (ICMP) 連線負載平衡器回應 ping 請求 (不過,ping 請求不會轉發到任何執行個體)。

對於面向網際網路的負載平衡器,建議您使用以下規則。

Inbound
Source Port Range Comment

0.0.0.0/0

接聽程式

在負載平衡器接聽程式連接埠上允許所有傳入流量

Outbound

Destination Port Range Comment

執行個體安全群組

執行個體接聽程式

在執行個體接聽程式連接埠上允許流向執行個體的傳出流量

執行個體安全群組

運作狀態檢查

在運作狀態檢查連接埠上允許流向執行個體的傳出流量

對於內部負載平衡器,建議您使用以下規則。

Inbound
Source Port Range Comment

VPC CIDR

接聽程式

在負載平衡器接聽程式連接埠上允許來自 VPC CIDR 的傳入流量

Outbound

Destination Port Range Comment

執行個體安全群組

執行個體接聽程式

在執行個體接聽程式連接埠上允許流向執行個體的傳出流量

執行個體安全群組

運作狀態檢查

在運作狀態檢查連接埠上允許流向執行個體的傳出流量

對於用作 Network Load Balancer 目標的 Application Load Balancer,建議您使用以下規則。

Inbound
Source Port Range Comment

用戶端 IP 地址/CIDR

alb 接聽程式

允許負載平衡器接聽程式連接埠上的傳入用戶端流量

VPC CIDR

alb 接聽程式

透 AWS PrivateLink 過負載平衡器接聽程式連接埠允許輸入用戶端流量

VPC CIDR

alb 接聽程式

允許來自 Network Load Balancer 的傳入運作狀態檢查流量

Outbound

Destination Port Range Comment

執行個體安全群組

執行個體接聽程式

在執行個體接聽程式連接埠上允許流向執行個體的傳出流量

執行個體安全群組

運作狀態檢查

在運作狀態檢查連接埠上允許流向執行個體的傳出流量

請注意,Application Load Balancer 的安全群組使用連線追蹤,來追蹤來自 Network Load Balancer 的流量相關資訊。無論為 Application Load Balancer 設定的安全群組規則為何,都會發生此情況。若要進一步了解 Amazon EC2 連線追蹤,請參閱《Amazon EC2 Linux 執行個體使用者指南》中的安全群組連線追蹤

若要確保您的目標僅接收來自負載平衡器的流量,請限制與目標相關聯的安全群組,以僅接受負載平衡器的流量。這可以透過將負載平衡器的安全性群組設定為目標安全性群組的輸入規則中的來源來達成。

我們也建議您允許傳入 ICMP 流量,以支援路徑 MTU 探索。如需詳細資訊,請參閱適用於 Linux 執行個體的 Amazon EC2 使用者指南中的路徑 MTU 探索

更新相關聯的安全群組

您可以隨時更新與負載平衡器相關聯的安全群組。

使用主控台更新安全群組
  1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格上選擇 Load Balancers (負載平衡器)

  3. 選取負載平衡器。

  4. 安全性索引標籤中,選擇編輯

  5. 若要將安全群組與負載平衡器建立關聯,請選取安全群組。若要移除安全群組關聯,請選擇安全群組的 X 圖示。

  6. 選擇儲存變更

若要使用更新安全群組 AWS CLI

使用 set-security-groups 命令。