本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Application Load Balancer 的安全群組
Application Load Balancer 的安全群組會控制允許到達和離開負載平衡器的流量。您必須確保負載平衡器可以在接聽程式連接埠和運作狀態檢查連接埠上與已註冊的目標通訊。當您將接聽程式新增到負載平衡器,或針對目標群組更新負載平衡器用來路由請求的運作狀態檢查連接埠時,您必須確認與負載平衡器相關聯的安全群組在新的連接埠上允許這兩個方向的流量。如果不是如此,您可以編輯目前相關聯之安全群組的規則,或將其他安全群組與負載平衡器建立關聯。您可以選擇要允許的連接埠和通訊協定。例如,您可以為負載平衡器開啟網際網路控制訊息通訊協定 (ICMP) 連線來回應 ping 要求 (不過,ping 要求不會轉送至任何執行個體)。
建議的規則
對於面向網際網路的負載平衡器,建議您使用以下規則。
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
0.0.0.0/0 |
|
在負載平衡器接聽程式連接埠上允許所有傳入流量 |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
在執行個體接聽程式連接埠上允許流向執行個體的傳出流量 |
|
|
|
在運作狀態檢查連接埠上允許流向執行個體的傳出流量 |
對於內部負載平衡器,建議您使用以下規則。
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
|
|
允許來自負載平衡器接聽程式連接埠的輸入流量 VPC CIDR |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
在執行個體接聽程式連接埠上允許流向執行個體的傳出流量 |
|
|
|
在運作狀態檢查連接埠上允許流向執行個體的傳出流量 |
對於用作 Network Load Balancer 目標的 Application Load Balancer,建議您使用以下規則。
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
|
|
允許負載平衡器接聽程式連接埠上的傳入用戶端流量 |
|
|
|
透 AWS PrivateLink 過負載平衡器接聽程式連接埠允許輸入用戶端流量 |
|
|
|
允許來自 Network Load Balancer 的傳入運作狀態檢查流量 |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
在執行個體接聽程式連接埠上允許流向執行個體的傳出流量 |
|
|
|
在運作狀態檢查連接埠上允許流向執行個體的傳出流量 |
請注意,Application Load Balancer 的安全群組使用連線追蹤,來追蹤來自 Network Load Balancer 的流量相關資訊。無論為 Application Load Balancer 設定的安全群組規則為何,都會發生此情況。若要進一步了解 Amazon EC2 連線追蹤,請參閱 Amazon EC2 使用者指南中的安全群組連線追蹤。
若要確保您的目標只接收來自負載平衡器的流量,請限制與目標相關聯的安全群組,以僅接受負載平衡器的流量。這可以透過將負載平衡器的安全性群組設定為目標安全性群組的輸入規則中的來源來達成。
我們也建議您允許輸入ICMP流量以支援路徑MTU探索。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的路徑MTU探索。
更新相關聯的安全群組
您可以隨時更新與負載平衡器相關聯的安全群組。
使用主控台更新安全群組
在打開 Amazon EC2 控制台https://console.aws.amazon.com/ec2/
。 -
在導覽窗格上選擇 Load Balancers (負載平衡器)。
-
選取負載平衡器。
-
在安全性索引標籤中,選擇編輯。
-
若要將安全群組與負載平衡器建立關聯,請選取安全群組。若要移除安全群組關聯,請選擇安全群組的 X 圖示。
-
選擇 Save changes (儲存變更)。
若要使用更新安全群組 AWS CLI
使用指set-security-groups令。
