本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为经典负载均衡器配置安全组
安全组 起到防火墙的作用,可控制允许往返于一个或多个实例的流量。在您启动 EC2 实例时,可将一个或多个安全组与该实例关联。对于每个安全组,添加一个或多个规则以允许流量。您可以随时修改某个安全组的规则;新规则会自动应用于与该安全组关联的所有实例。有关更多信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的 Amazon EC2 安全组。
VPC 中的负载均衡器的安全组
在 VPC 中使用 Amazon Web Services Management Console创建负载均衡器时,您可为 VPC 选择现有安全组或为 VPC 创建新的安全组。如果您选择现有安全组,则它必须允许侦听器端口和运行状况检查端口上针对负载均衡器的双向流量。如果您选择创建安全组,则控制台将自动添加规则以允许这两个端口上的所有流量。
[非默认 VPC] 如果您使用 Amazon CLI 或 API 在非默认 VPC 中创建负载均衡器,但不指定安全组,则负载均衡器将自动与 VPC 的默认安全组关联。
[默认 VPC] 如果您使用 Amazon CLI 或 API 在默认 VPC 中创建负载均衡器,则您无法为负载均衡器选择现有安全组。相反,Elastic Load Balancing 将为安全组提供规则,以允许指定端口上针对负载均衡器的所有流量。Elastic Load Balancing 仅为每个 Amazon 账户创建一个此类安全组,其名称的格式为 default_elb_id
(例如,default_elb_fc5fbed3-0405-3b7d-a328-ea290EXAMPLE
)。您在默认 VPC 中创建的后续负载均衡器也使用此安全组。务必查看安全组规则以确保它们允许侦听器端口和运行状况检查端口上针对新负载均衡器的流量。删除负载均衡器时,不会自动删除此安全组。
如果您向现有负载均衡器添加侦听器,则必须检查安全组以确保它们允许新侦听器端口上的双向流量。
负载均衡器安全组的推荐规则
负载均衡器的安全组必须允许它们与您的实例进行通信。推荐规则取决于负载均衡器的类型(面向 Internet 或内部)。
下表显示了面向 Internet 的负载均衡器的推荐规则。
Inbound | |||
---|---|---|---|
源 | 协议 | 端口范围 | 评论 |
0.0.0.0/0 |
TCP |
|
在负载均衡器侦听器端口上允许所有入站流量 |
Outbound |
|||
目的地 | 协议 | 端口范围 | 评论 |
|
TCP |
|
在实例侦听器端口上允许流向实例的出站流量 |
|
TCP |
|
在运行状况检查端口上允许流向实例的出站流量 |
下表显示了内部负载均衡器的推荐规则。
Inbound | |||
---|---|---|---|
源 | 协议 | 端口范围 | 评论 |
|
TCP |
|
在负载均衡器侦听器端口上允许来自 VPC CIDR 的入站流量 |
Outbound |
|||
目的地 | 协议 | 端口范围 | 评论 |
|
TCP |
|
在实例侦听器端口上允许流向实例的出站流量 |
|
TCP |
|
在运行状况检查端口上允许流向实例的出站流量 |
使用控制台管理安全组
使用以下过程可更改与 VPC 中的负载均衡器关联的安全组。
使用 Amazon CLI 管理安全组
使用以下 apply-security-groups-to-load-balancer 命令将安全组与 VPC 中的负载均衡器关联。指定的安全组会覆盖之前关联的安全组。
aws elb apply-security-groups-to-load-balancer --load-balancer-name
my-loadbalancer
--security-groupssg-53fae93f
以下为响应示例:
{
"SecurityGroups": [
"sg-53fae93f"
]
}
VPC 中的实例的安全组
您的实例的安全组必须允许它们与负载均衡器进行通信。下表显示了推荐规则。
Inbound | |||
---|---|---|---|
源 | 协议 | 端口范围 | 评论 |
|
TCP |
|
在实例侦听器端口上允许来自负载均衡器的流量 |
|
TCP |
|
在运行状况检查端口上允许来自负载均衡器的流量 |
我们还建议您允许入站 ICMP 流量以支持路径 MTU 发现。有关更多信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的路径 MTU 发现。
VPC 中的负载均衡器的网络 ACL
VPC 的默认网络访问控制列表 (ACL) 允许所有入站和出站流量。如果创建自定义网络 ACL,则必须添加允许负载均衡器和实例进行通信的规则。
负载均衡器子网的推荐规则取决于负载均衡器类型(面向 Internet 或内部)。
下面显示了面向 Internet 的负载均衡器的推荐规则。
Inbound | |||
---|---|---|---|
源 | 协议 | 端口 | 评论 |
0.0.0.0/0 |
TCP |
|
在负载均衡器侦听器端口上允许所有入站流量 |
|
TCP |
1024-65535 |
在临时端口上允许来自 VPC CIDR 的入站流量 |
Outbound |
|||
目的地 | 协议 | 端口 | 评论 |
|
TCP |
|
在实例侦听器端口上允许所有出站流量 |
|
TCP |
|
在运行状况检查端口上允许所有出站流量 |
0.0.0.0/0 |
TCP |
1024-65535 |
在临时端口上允许所有出站流量 |
下面显示了内部负载均衡器的推荐规则。
Inbound | |||
---|---|---|---|
源 | 协议 | 端口 | 评论 |
|
TCP |
|
在负载均衡器侦听器端口上允许来自 VPC CIDR 的入站流量 |
|
TCP |
1024-65535 |
在临时端口上允许来自 VPC CIDR 的入站流量 |
Outbound |
|||
目的地 | 协议 | 端口 | 评论 |
|
TCP |
|
在实例侦听器端口上允许流向 VPC CIDR 的出站流量 |
|
TCP |
|
在运行状况检查端口上允许流向 VPC CIDR 的出站流量 |
|
TCP |
1024-65535 |
在临时端口上允许流向 VPC CIDR 的出站流量 |
实例子网的推荐规则取决于子网是私有还是公有子网。以下规则适用于私有子网。如果您的实例在公有子网中,请将源和目标从 VPC 的 CIDR 更改为 0.0.0.0/0
。
Inbound | |||
---|---|---|---|
源 | 协议 | 端口 | 评论 |
|
TCP |
|
在实例侦听器端口上允许来自 VPC CIDR 的入站流量 |
|
TCP |
|
在运行状况检查端口上允许来自 VPC CIDR 的入站流量 |
Outbound |
|||
目的地 | 协议 | 端口 | 评论 |
|
TCP |
1024-65535 |
在临时端口上允许流向 VPC CIDR 的出站流量 |