本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Application Load Balancer 的安全组
应用程序负载均衡器的安全组控制允许到达和离开负载均衡器的流量。您必须确保负载均衡器可同时在侦听器端口和运行状况检查端口上与已注册目标进行通信。当您将侦听器添加到负载均衡器或更新负载均衡器所使用的目标组的运行状况检查端口来路由请求时,您必须验证与负载均衡器关联的安全组是否允许新端口上的双向流量。如果它们不允许,您可以编辑当前关联的安全组的规则或将其他安全组与负载均衡器关联。您可以选择允许的端口和协议。例如,您可以打开负载均衡器的 Internet 控制消息协议 (ICMP) 连接,以响应 Ping 请求 (但是,Ping 请求不会转发至任何实例)。
推荐的规则
对于面向 Internet 的负载均衡器,建议使用以下规则。
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
0.0.0.0/0 |
|
在负载均衡器侦听器端口上允许所有入站流量 |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
在实例侦听器端口上允许流向实例的出站流量 |
|
|
|
在运行状况检查端口上允许流向实例的出站流量 |
建议内部负载均衡器使用以下规则。
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
|
|
在负载均衡器侦听器端口上允许来自 VPC CIDR 的入站流量 |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
在实例侦听器端口上允许流向实例的出站流量 |
|
|
|
在运行状况检查端口上允许流向实例的出站流量 |
对于用作 Network Load Balancer 目标的 Application Load Balancer,建议使用以下规则。
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
|
|
在负载均衡器侦听器端口上允许入站客户端流量 |
|
|
|
允许入站客户端流量通过 Amazon PrivateLink 负载均衡器侦听器端口 |
|
|
|
允许来自 Network Load Balancer 的入栈运行状况流量 |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
在实例侦听器端口上允许流向实例的出站流量 |
|
|
|
在运行状况检查端口上允许流向实例的出站流量 |
请注意,Application Load Balancer 的安全组使用连接跟踪来跟踪有关来自 Network Load Balancer 的流量的信息。无论为 Application Load Balancer 设置的安全组规则如何,都会执行此跟踪 要了解有关亚马逊 EC2 连接跟踪的更多信息,请参阅亚马逊 EC2 用户指南中的安全组连接跟踪。
为确保您的目标仅接收来自负载均衡器的流量,请限制与目标关联的安全组仅接受来自负载均衡器的流量。这可以通过在目标安全组的入口规则中将负载均衡器的安全组设置为源来实现。
我们还建议您允许入站 ICMP 流量以支持路径 MTU 发现。有关更多信息,请参阅《亚马逊 EC2 用户指南》中的 MTU 发现路径。
更新关联的安全组
您可以随时更新与负载均衡器关联的安全组。
使用控制台更新安全组
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格中,选择负载均衡器。
-
选择负载均衡器。
-
在安全性选项卡上,选择编辑。
-
要将一个安全组与负载均衡器关联,请选择此安全组。要删除安全组关联,请选择安全组的 X 图标。
-
选择 Save changes(保存更改)。
要更新安全组,请使用 Amazon CLI
使用 set-security-groups 命令。