Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktualisieren Sie die Sicherheitsgruppen für Ihren Network Load Balancer
Sie können Ihrem Network Load Balancer eine Sicherheitsgruppe zuordnen, um den Datenverkehr zu kontrollieren, der den Network Load Balancer erreichen und verlassen darf. Sie geben die Ports, Protokolle und Quellen an, die eingehenden Datenverkehr zulassen, und die Ports, Protokolle und Ziele, die ausgehenden Datenverkehr zulassen sollen. Wenn Sie Ihrem Network Load Balancer keine Sicherheitsgruppe zuweisen, kann der gesamte Client-Verkehr die Network Load Balancer-Listener erreichen und der gesamte Datenverkehr kann den Network Load Balancer verlassen.
Sie können den mit Ihren Zielen verknüpften Sicherheitsgruppen eine Regel hinzufügen, die auf die mit Ihrem Network Load Balancer verknüpfte Sicherheitsgruppe verweist. Auf diese Weise können Clients über Ihren Network Load Balancer Datenverkehr an Ihre Ziele senden, sie können jedoch keinen Datenverkehr direkt an Ihre Ziele senden. Wenn Sie in den mit Ihren Zielen verknüpften Sicherheitsgruppen auf die Ihrem Network Load Balancer zugeordnete Sicherheitsgruppe verweisen, wird sichergestellt, dass Ihre Ziele Datenverkehr von Ihrem Network Load Balancer akzeptieren, auch wenn Sie die Client-IP-Erhaltung für Ihren Network Load Balancer aktivieren.
Für Datenverkehr, der durch Sicherheitsgruppenregeln für eingehenden Datenverkehr blockiert wird, werden Ihnen keine Gebühren berechnet.
Inhalt
Überlegungen
-
Sie können Sicherheitsgruppen einem Network Load Balancer zuordnen, wenn Sie ihn erstellen. Wenn Sie einen Network Load Balancer erstellen, ohne Sicherheitsgruppen zuzuordnen, können Sie sie später nicht mehr mit dem Network Load Balancer verknüpfen. Wir empfehlen, dass Sie Ihrem Network Load Balancer bei der Erstellung eine Sicherheitsgruppe zuordnen.
-
Nachdem Sie einen Network Load Balancer mit zugehörigen Sicherheitsgruppen erstellt haben, können Sie die mit dem Network Load Balancer verknüpften Sicherheitsgruppen jederzeit ändern.
-
Zustandsprüfungen unterliegen Regeln für ausgehenden Datenverkehr, nicht jedoch für eingehenden. Sie müssen sicherstellen, dass Regeln für ausgehenden Datenverkehr den Zustandsprüfungsdatenverkehr nicht blockieren. Andernfalls betrachtet der Network Load Balancer die Ziele als fehlerhaft.
-
Sie können steuern, ob der PrivateLink Datenverkehr Regeln für eingehenden Datenverkehr unterliegt. Wenn Sie Regeln für eingehenden PrivateLink Datenverkehr aktivieren, ist die Quelle des Datenverkehrs die private IP-Adresse des Clients, nicht die Endpunktschnittstelle.
Beispiel: Filtern des Client-Datenverkehrs
Die folgenden Regeln für eingehenden Datenverkehr in der Sicherheitsgruppe, die Ihrem Network Load Balancer zugeordnet ist, lassen nur Datenverkehr zu, der aus dem angegebenen Adressbereich stammt. Wenn es sich um einen internen Network Load Balancer handelt, können Sie einen VPC CIDR Bereich als Quelle angeben, um nur Datenverkehr von einem bestimmten VPC Bereich zuzulassen. Wenn es sich um einen mit dem Internet verbundenen Network Load Balancer handelt, der Datenverkehr von überall im Internet akzeptieren muss, können Sie 0.0.0.0/0 als Quelle angeben.
Protokoll | Quelle | Port-Bereich | Kommentar |
---|---|---|---|
protocol |
client IP address range |
listener port |
Lässt eingehenden Datenverkehr von der Quelle am Listener-Port zu CIDR |
ICMP | 0.0.0.0/0 | Alle | Ermöglicht die Unterstützung von ICMP eingehendem Datenverkehr MTU oder Path Discovery † MTU |
† Weitere Informationen finden Sie unter Path MTU Discovery im EC2Amazon-Benutzerhandbuch.
Protokoll | Bestimmungsort | Port-Bereich | Kommentar |
---|---|---|---|
Alle | Überall | Alle | Erlaubt allen ausgehenden Datenverkehr |
Beispiel: Nur Datenverkehr vom Network Load Balancer akzeptieren
Angenommen, Ihr Network Load Balancer hat eine Sicherheitsgruppe sg-111112222233333. Verwenden Sie die folgenden Regeln in den Sicherheitsgruppen, die Ihren Ziel-Instances zugeordnet sind, um sicherzustellen, dass sie nur Datenverkehr vom Network Load Balancer akzeptieren. Sie müssen sicherstellen, dass die Ziele Datenverkehr vom Network Load Balancer sowohl auf dem Zielport als auch auf dem Health Check-Port akzeptieren. Weitere Informationen finden Sie unter Zielsicherheitsgruppen.
Protokoll | Quelle | Port-Bereich | Kommentar |
---|---|---|---|
protocol |
sg-111112222233333 | target port |
Lässt eingehenden Datenverkehr vom Network Load Balancer auf dem Zielport zu |
protocol |
sg-111112222233333 | health check |
Lässt eingehenden Datenverkehr vom Network Load Balancer auf dem Health Check-Port zu |
Protokoll | Bestimmungsort | Port-Bereich | Kommentar |
---|---|---|---|
Alle | Überall | Any | Erlaubt allen ausgehenden Datenverkehr |
Aktualisieren der zugeordneten Sicherheitsgruppen
Wenn Sie bei der Erstellung mindestens eine Sicherheitsgruppe mit einem Network Load Balancer verknüpft haben, können Sie die Sicherheitsgruppen für diesen Network Load Balancer jederzeit aktualisieren.
So aktualisieren Sie Sicherheitsgruppen mithilfe der Konsole
Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/
. -
Wählen Sie im Navigationsbereich unter LOAD BALANCING die Option Load Balancers aus.
-
Wählen Sie den Network Load Balancer aus.
-
Wählen Sie auf der Registerkarte Sicherheit die Option Bearbeiten aus.
-
Um Ihrem Network Load Balancer eine Sicherheitsgruppe zuzuordnen, wählen Sie sie aus. Um eine Sicherheitsgruppe aus Ihrem Network Load Balancer zu entfernen, löschen Sie sie.
-
Wählen Sie Änderungen speichern.
Um Sicherheitsgruppen zu aktualisieren, verwenden Sie AWS CLI
Verwenden Sie den set-security-groupsBefehl.
Aktualisieren der Sicherheitseinstellungen
Standardmäßig wenden wir die Sicherheitsgruppenregeln für eingehenden Datenverkehr auf den gesamten Datenverkehr an, der an den Network Load Balancer gesendet wird. Möglicherweise möchten Sie diese Regeln jedoch nicht auf den Datenverkehr anwenden, der an den Network Load Balancer gesendet wird und der von überlappenden IP-Adressen stammen kann. AWS PrivateLink In diesem Fall können Sie den Network Load Balancer so konfigurieren, dass wir die Regeln für eingehenden Datenverkehr, über den an den Network Load Balancer gesendet wird, nicht anwenden. AWS PrivateLink
So aktualisieren Sie die Sicherheitsrichtlinieneinstellungen mithilfe der Konsole
Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/
. -
Wählen Sie im Navigationsbereich unter LOAD BALANCING die Option Load Balancers aus.
-
Wählen Sie den Network Load Balancer aus.
-
Wählen Sie auf der Registerkarte Sicherheit die Option Bearbeiten aus.
-
Deaktivieren Sie unter Sicherheitseinstellungen die Option Regeln für eingehenden Datenverkehr durchsetzen. PrivateLink
-
Wählen Sie Änderungen speichern.
Um die Sicherheitseinstellungen zu aktualisieren, verwenden Sie AWS CLI
Verwenden Sie den set-security-groupsBefehl.
Sicherheitsgruppen des Network Load Balancer überwachen
Verwenden Sie die SecurityGroupBlockedFlowCount_Outbound
CloudWatch Metriken SecurityGroupBlockedFlowCount_Inbound
und, um die Anzahl der Datenflüsse zu überwachen, die von den Network Load Balancer Balancer-Sicherheitsgruppen blockiert werden. Blockierter Datenverkehr spiegelt sich nicht in anderen Metriken wider. Weitere Informationen finden Sie unter CloudWatch Metriken für Ihren Network Load Balancer.
Verwenden Sie VPC Flussprotokolle, um den Datenverkehr zu überwachen, der von den Network Load Balancer Balancer-Sicherheitsgruppen akzeptiert oder abgelehnt wird. Weitere Informationen finden Sie unter VPCFlow Logs im VPCAmazon-Benutzerhandbuch.