Elastic Load Balancing
应用程序负载均衡器
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

应用程序负载均衡器的安全组

您必须确保负载均衡器可同时在侦听器端口和运行状况检查端口上与已注册目标进行通信。当您将侦听器添加到负载均衡器或更新负载均衡器所使用的目标组的运行状况检查端口来路由请求时,您必须验证与负载均衡器关联的安全组是否允许新端口上的双向流量。如果它们不允许,您可以编辑当前关联的安全组的规则或将其他安全组与负载均衡器关联。

推荐规则取决于负载均衡器的类型 (面向 Internet 或内部)。

面向 Internet 的负载均衡器

入站
端口范围 评论

0.0.0.0/0

侦听器

在负载均衡器侦听器端口上允许所有入站流量

出站

目的地 端口范围 评论

实例安全组

实例侦听器

在实例侦听器端口上允许流向实例的出站流量

实例安全组

运行状况检查

在运行状况检查端口上允许流向实例的出站流量

内部负载均衡器

入站
端口范围 评论

VPC CIDR

侦听器

在负载均衡器侦听器端口上允许来自 VPC CIDR 的入站流量

出站

目的地 端口范围 评论

实例安全组

实例侦听器

在实例侦听器端口上允许流向实例的出站流量

实例安全组

运行状况检查

在运行状况检查端口上允许流向实例的出站流量

我们还建议您允许入站 ICMP 流量以支持路径 MTU 发现。有关更多信息,请参阅 Amazon EC2 用户指南(适用于 Linux 实例) 中的路径 MTU 发现

更新关联的安全组

您可以随时更新与负载均衡器关联的安全组。

使用控制台更新安全组

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格上的 LOAD BALANCING 下,选择 Load Balancers

  3. 选择负载均衡器。

  4. Description 选项卡上的 Security 下,选择 Edit security groups

  5. 要将一个安全组与负载均衡器关联,请选择此安全组。要从负载均衡器中删除一个安全组,请清除该安全组。

  6. 选择 Save

使用 AWS CLI 更新安全组

使用 set-security-groups 命令。