本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Application Load Balancer 的安全群組
Application Load Balancer 的安全群組會控制允許到達和離開負載平衡器的流量。您必須確保負載平衡器可以在接聽程式連接埠和運作狀態檢查連接埠上與已註冊的目標通訊。當您將接聽程式新增到負載平衡器,或針對目標群組更新負載平衡器用來路由請求的運作狀態檢查連接埠時,您必須確認與負載平衡器相關聯的安全群組在新的連接埠上允許這兩個方向的流量。如果不是如此,您可以編輯目前相關聯之安全群組的規則,或將其他安全群組與負載平衡器建立關聯。您可以選擇要允許的連接埠和通訊協定。例如,您可以開啟網際網路控制訊息通訊協定 (ICMP) 連線,讓負載平衡器回應 ping 請求 (但 ping 請求不會轉送至任何執行個體)。
建議的規則
對於面向網際網路的負載平衡器,建議您使用以下規則。
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
0.0.0.0/0 |
|
在負載平衡器接聽程式連接埠上允許所有傳入流量 |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
在執行個體接聽程式連接埠上允許流向執行個體的傳出流量 |
|
|
|
在運作狀態檢查連接埠上允許流向執行個體的傳出流量 |
對於內部負載平衡器,建議您使用以下規則。
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
|
|
允許負載平衡器接聽程式連接埠CIDR上來自 VPC 的傳入流量 |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
在執行個體接聽程式連接埠上允許流向執行個體的傳出流量 |
|
|
|
在運作狀態檢查連接埠上允許流向執行個體的傳出流量 |
對於用作 Network Load Balancer 目標的 Application Load Balancer,建議您使用以下規則。
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
|
|
允許負載平衡器接聽程式連接埠上的傳入用戶端流量 |
|
|
|
允許透過負載平衡器接聽程式連接埠 AWS PrivateLink 上的傳入用戶端流量 |
|
|
|
允許來自 Network Load Balancer 的傳入運作狀態檢查流量 |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
在執行個體接聽程式連接埠上允許流向執行個體的傳出流量 |
|
|
|
在運作狀態檢查連接埠上允許流向執行個體的傳出流量 |
請注意,Application Load Balancer 的安全群組使用連線追蹤,來追蹤來自 Network Load Balancer 的流量相關資訊。無論為 Application Load Balancer 設定的安全群組規則為何,都會發生此情況。若要進一步了解 Amazon EC2 連線追蹤,請參閱 Amazon EC2 使用者指南中的安全群組連線追蹤。
為確保目標僅接收來自負載平衡器的流量,請將與目標相關聯的安全群組限制為僅接受來自負載平衡器的流量。這可以透過將負載平衡器的安全群組設定為目標安全群組的傳入規則中的來源來實現。
我們也建議您允許傳入 ICMP 流量支援路徑 MTU 探索。如需詳細資訊,請參閱 Amazon MTU 使用者指南中的路徑字詞探索。 EC2
更新相關聯的安全群組
您可以隨時更新與負載平衡器相關聯的安全群組。
使用主控台更新安全群組
在 EC2 開啟 Amazon https://console.aws.amazon.com/ec2/
主控台。 -
在導覽窗格上選擇 Load Balancers (負載平衡器)。
-
選取負載平衡器。
-
在安全性索引標籤中,選擇編輯。
-
若要將安全群組與負載平衡器建立關聯,請選取安全群組。若要移除安全群組關聯,請選擇安全群組的 X 圖示。
-
選擇 Save changes (儲存變更)。
使用 更新安全群組 AWS CLI
使用 set-security-groups 命令。
