Application Load Balancer 的安全组 - Elastic Load Balancing
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Application Load Balancer 的安全组

您必须确保负载均衡器可同时在侦听器端口和运行状况检查端口上与已注册目标进行通信。当您将侦听器添加到负载均衡器或更新负载均衡器所使用的目标组的运行状况检查端口来路由请求时,您必须验证与负载均衡器关联的安全组是否允许新端口上的双向流量。如果它们不允许,您可以编辑当前关联的安全组的规则或将其他安全组与负载均衡器关联。在 VPC 中,您为负载均衡器提供安全组,以便您能够选择要允许的端口和协议。例如,您可以打开负载均衡器的 Internet 控制消息协议 (ICMP) 连接,以响应 Ping 请求 (但是,Ping 请求不会转发至任何实例)。

对于面向 Internet 的负载均衡器,建议使用以下规则。

Inbound
端口范围 评论

0.0.0.0/0

侦听器

在负载均衡器侦听器端口上允许所有入站流量

Outbound

目的地 端口范围 评论

实例安全组

实例侦听器

在实例侦听器端口上允许流向实例的出站流量

实例安全组

运行状况检查

在运行状况检查端口上允许流向实例的出站流量

建议内部负载均衡器使用以下规则。

Inbound
端口范围 评论

VPC CIDR

侦听器

在负载均衡器侦听器端口上允许来自 VPC CIDR 的入站流量

Outbound

目的地 端口范围 评论

实例安全组

实例侦听器

在实例侦听器端口上允许流向实例的出站流量

实例安全组

运行状况检查

在运行状况检查端口上允许流向实例的出站流量

对于用作 Network Load Balancer 目标的 Application Load Balancer,建议使用以下规则。

Inbound
端口范围 评论

客户端 IP 地址/CIDR

alb 侦听器

在负载均衡器侦听器端口上允许入站客户端流量

VPC CIDR

alb 侦听器

在负载均衡器侦听器端口上允许所有通过 Amazon PrivateLink 的入站客户端流量

VPC CIDR

alb 侦听器

允许来自 Network Load Balancer 的入栈运行状况流量

Outbound

目的地 端口范围 评论

实例安全组

实例侦听器

在实例侦听器端口上允许流向实例的出站流量

实例安全组

运行状况检查

在运行状况检查端口上允许流向实例的出站流量

请注意,Application Load Balancer 的安全组使用连接跟踪来跟踪有关来自 Network Load Balancer 的流量的信息。无论为 Application Load Balancer 设置的安全组规则如何,都会执行此跟踪 要了解有关 Amazon EC2 连接跟踪的更多信息,请参阅 适用于 Linux 实例的 Amazon EC2 用户指南中的安全组连接跟踪

我们还建议您允许入站 ICMP 流量以支持路径 MTU 发现。有关更多信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的路径 MTU 发现

更新关联的安全组

您可以随时更新与负载均衡器关联的安全组。

使用控制台更新安全组

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的 Load Balancing(负载均衡)下,选择 Load Balancers(负载均衡器)。

  3. 选择负载均衡器。

  4. Description 选项卡上的 Security 下,选择 Edit security groups

  5. 要将一个安全组与负载均衡器关联,请选择此安全组。要从负载均衡器中删除一个安全组,请清除该安全组。

  6. 选择 Save (保存)

使用 Amazon CLI 更新安全组

使用 set-security-groups 命令。