本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定您的 Classic Load Balancer 的安全群組
security group (安全群組) 扮演防火牆的角色,可控制允許進出一或多個執行個體的流量。啟動 EC2 執行個體時,您可以將一或多個安全群組與執行個體相關聯。針對每個安全群組,您可新增一或多個規則來允許流量。您可以隨時修改安全群組的規則;系統會自動將新規則套用至與安全群組相關聯的所有執行個體。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的 Amazon EC2 安全群組。
在 VPC 中負載平衡器的安全群組
使用在 VPC 中 AWS Management Console 建立負載平衡器時,您可以為 VPC 選擇現有的安全群組,或為 VPC 建立新的安全群組。如果您選擇現有的安全群組,則必須允許雙向流量至接聽程式和負載平衡器的運作狀態檢查連接埠。如果您選擇建立安全群組,主控台會自動新增規則以允許這些連接埠的所有流量。
[非預設 VPC] 如果您使用 AWS CLI 或 API 在非預設 VPC 中建立負載平衡器,但未指定安全群組,則負載平衡器會自動與 VPC 的預設安全性群組相關聯。
[預設 VPC] 如果您使用 AWS CLI 或 API 在預設 VPC 中建立負載平衡器,則無法為負載平衡器選擇現有的安全性群組。反之,Elastic Load Balancing 會提供具有規則的安全群組,以允許負載平衡器的指定連接埠上所有流量。Elastic Load Balancing 只會為每個 AWS 帳戶建立一個此類安全群組,其名稱為 default_elb_ id 格式 (例如)。default_elb_fc5fbed3-0405-3b7d-a328-ea290EXAMPLE後續的預設 VPC 中建立負載平衡器,也使用此安全群組。請務必檢閱安全群組規則,以確保它們允許流量在適用於新的負載平衡器的接聽程式和運作狀態檢查連接埠。當您刪除負載平衡器時,此安全群組不會自動刪除。
如果您新增接聽程式到現有的負載平衡器,您必須檢閱您的安全群組,以確保它們允許流量在新的雙向接聽連接埠。
負載平衡器安全群組的建議規則
您的負載平衡器的安全群組必須允許它們與您的執行個體進行通訊。建議的規則取決於負載平衡器的類型 (面向網際網路或內部)。
下表顯示面向網際網路的負載平衡器適用的建議規則。
| Inbound | |||
|---|---|---|---|
| Source | Protocol | Port Range | Comment |
0.0.0.0/0 |
TCP |
|
在負載平衡器接聽程式連接埠上允許所有傳入流量 |
|
Outbound |
|||
| Destination | Protocol | Port Range | Comment |
|
TCP |
|
在執行個體接聽程式連接埠上允許流向執行個體的傳出流量 |
|
TCP |
|
在運作狀態檢查連接埠上允許流向執行個體的傳出流量 |
下表顯示內部負載平衡器適用的建議規則。
| Inbound | |||
|---|---|---|---|
| Source | Protocol | Port Range | Comment |
|
TCP |
|
在負載平衡器接聽程式連接埠上允許來自 VPC CIDR 的傳入流量 |
|
Outbound |
|||
| Destination | Protocol | Port Range | Comment |
|
TCP |
|
在執行個體接聽程式連接埠上允許流向執行個體的傳出流量 |
|
TCP |
|
在運作狀態檢查連接埠上允許流向執行個體的傳出流量 |
使用主控台管理安全群組
請使用下列步驟來變更在 VPC 中與您的負載平衡器關聯的安全群組。
使用主控台更新指派給負載平衡器的安全群組
前往 https://console.aws.amazon.com/ec2/
開啟 Amazon EC2 主控台。 -
在導覽窗格的 Load Balancing (負載平衡器),選擇 Load Balancer (負載平衡器)。
-
選擇負載平衡器的名稱來開啟其詳細資訊頁面。
-
在安全性索引標籤中,選擇編輯。
-
在編輯安全群組頁面的安全群組下方,視需要新增或移除安全群組。
您最多可以新增五個安全群組。
-
完成時,請選擇 Save changes (儲存變更)。
使用管理安全性群組 AWS CLI
使用以下 apply-security-groups-to-load-balancer 命令,使安全群組與 VPC 中的負載平衡器產生關聯。指定的安全群組會覆寫先前關聯的安全群組。
aws elb apply-security-groups-to-load-balancer --load-balancer-namemy-loadbalancer--security-groupssg-53fae93f
以下是回應範例:
{
"SecurityGroups": [
"sg-53fae93f"
]
}在 VPC 中的執行個體的安全群組
您的執行個體的安全群組,必須允許它們與負載平衡器進行通訊。下表顯示建議的規則。
| Inbound | |||
|---|---|---|---|
| Source | Protocol | Port Range | Comment |
|
TCP |
|
允許來自負載平衡器在執行個體接聽程式連接埠上的流量 |
|
TCP |
|
允許負載平衡器透過運作狀態檢查連接埠傳送的流量 |
我們也建議您允許傳入 ICMP 流量,以支援路徑 MTU 探索。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的路徑 MTU 探索。
在 VPC 中負載平衡器的網路 ACL
VPC 的預設網路存取控制清單 (ACL) 可允許所有傳入和傳出的流量。如果您建立自訂網路 ACL,您必須新增規則允許負載平衡器和執行個體進行通訊。
負載平衡器的子網路建議規則,取決於負載平衡器的類型 (面向網際網路或內部)。
以下是面向網際網路的負載平衡器適用的建議規則。
| Inbound | |||
|---|---|---|---|
| Source | Protocol | Port | Comment |
|
0.0.0.0/0 |
TCP |
|
在負載平衡器接聽程式連接埠上允許所有傳入流量 |
|
|
TCP |
1024-65535 |
允許暫時性連接埠上來自 VPC CIDR 的傳入流量 |
|
Outbound |
|||
| Destination | Protocol | Port | Comment |
|
|
TCP |
|
允許執行個體接聽程式連接埠上所有傳出流量 |
|
|
TCP |
|
允許運作狀態檢查連接埠上的所有傳出流量 |
|
0.0.0.0/0 |
TCP |
1024-65535 |
允許暫時性連接埠上所有傳出流量 |
以下是內部負載平衡器適用的建議規則。
| Inbound | |||
|---|---|---|---|
| Source | Protocol | Port | Comment |
|
|
TCP |
|
在負載平衡器接聽程式連接埠上允許來自 VPC CIDR 的傳入流量 |
|
|
TCP |
1024-65535 |
允許暫時性連接埠上來自 VPC CIDR 的傳入流量 |
|
Outbound |
|||
| Destination | Protocol | Port | Comment |
|
|
TCP |
|
允許執行個體接聽程式連接埠上流向 VPC CIDR 的傳出流量 |
|
|
TCP |
|
允許運作狀態檢查連接埠上流向 VPC CIDR 的傳出流量 |
|
|
TCP |
1024-65535 |
在暫時性連接埠上允許流向 VPC CIDR 的傳出流量 |
您的執行個體的子網路建議規則,取決於子網路是私有或公有。以下規則用於一個私有子網路。如果您的執行個體處於公有子網路,請變更來源與目的地的 VPC 的 CIDR 至 0.0.0.0/0。
| Inbound | |||
|---|---|---|---|
| Source | Protocol | Port | Comment |
|
|
TCP |
|
在執行個體接聽程式連接埠上允許從 VPC CIDR 流入的傳入流量 |
|
|
TCP |
|
在運作狀態檢查連接埠上允許從 VPC CIDR 流入的傳入流量 |
|
Outbound |
|||
| Destination | Protocol | Port | Comment |
|
|
TCP |
1024-65535 |
在暫時性連接埠上允許流向 VPC CIDR 的傳出流量 |
