Application Load Balancer 的安全组
您必须确保负载均衡器可同时在侦听器端口和运行状况检查端口上与已注册目标进行通信。当您将侦听器添加到负载均衡器或更新负载均衡器所使用的目标组的运行状况检查端口来路由请求时,您必须验证与负载均衡器关联的安全组是否允许新端口上的双向流量。如果它们不允许,您可以编辑当前关联的安全组的规则或将其他安全组与负载均衡器关联。在 VPC 中,您为负载均衡器提供安全组,以便您能够选择要允许的端口和协议。例如,您可以打开负载均衡器的 Internet 控制消息协议 (ICMP) 连接,以响应 Ping 请求 (但是,Ping 请求不会转发至任何实例)。
推荐的规则
对于面向 Internet 的负载均衡器,建议使用以下规则。
Inbound | ||
---|---|---|
源 | 端口范围 | 评论 |
0.0.0.0/0 |
|
在负载均衡器侦听器端口上允许所有入站流量 |
Outbound |
||
目的地 | 端口范围 | 评论 |
|
|
在实例侦听器端口上允许流向实例的出站流量 |
|
|
在运行状况检查端口上允许流向实例的出站流量 |
建议内部负载均衡器使用以下规则。
Inbound | ||
---|---|---|
源 | 端口范围 | 评论 |
|
|
在负载均衡器侦听器端口上允许来自 VPC CIDR 的入站流量 |
Outbound |
||
目的地 | 端口范围 | 评论 |
|
|
在实例侦听器端口上允许流向实例的出站流量 |
|
|
在运行状况检查端口上允许流向实例的出站流量 |
对于用作 Network Load Balancer 目标的 Application Load Balancer,建议使用以下规则。
Inbound | ||
---|---|---|
源 | 端口范围 | Comment |
|
|
在负载均衡器侦听器端口上允许入站客户端流量 |
|
|
在负载均衡器侦听器端口上允许所有通过 Amazon PrivateLink 的入站客户端流量 |
|
|
允许来自 Network Load Balancer 的入栈运行状况流量 |
Outbound |
||
目标位置 | 端口范围 | 评论 |
|
|
在实例侦听器端口上允许流向实例的出站流量 |
|
|
在运行状况检查端口上允许流向实例的出站流量 |
请注意,Application Load Balancer 的安全组使用连接跟踪来跟踪有关来自 Network Load Balancer 的流量的信息。无论为 Application Load Balancer 设置的安全组规则如何,都会执行此跟踪 要了解有关 Amazon EC2 连接跟踪的更多信息,请参阅 适用于 Linux 实例的 Amazon EC2 用户指南中的安全组连接跟踪。
我们还建议您允许入站 ICMP 流量以支持路径 MTU 发现。有关更多信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的路径 MTU 发现。
更新关联的安全组
您可以随时更新与负载均衡器关联的安全组。
使用控制台更新安全组
通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/
。 -
在导航窗格中,选择 Load Balancers。
-
选择负载均衡器。
-
在安全性选项卡上,选择编辑。
-
要将一个安全组与负载均衡器关联,请选择此安全组。要删除安全组关联,请选择安全组的 X 图标。
-
选择 Save changes(保存更改)。
使用 Amazon CLI 更新安全组
使用 set-security-groups 命令。