Aktualisieren Sie die Sicherheitsgruppen für Ihren Network Load Balancer - Elastic Load Balancing

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktualisieren Sie die Sicherheitsgruppen für Ihren Network Load Balancer

Sie können Ihrem Network Load Balancer eine Sicherheitsgruppe zuordnen, um den Datenverkehr zu kontrollieren, der den Network Load Balancer erreichen und verlassen darf. Sie geben die Ports, Protokolle und Quellen an, die eingehenden Datenverkehr zulassen, und die Ports, Protokolle und Ziele, die ausgehenden Datenverkehr zulassen sollen. Wenn Sie Ihrem Network Load Balancer keine Sicherheitsgruppe zuweisen, kann der gesamte Client-Verkehr die Network Load Balancer-Listener erreichen und der gesamte Datenverkehr kann den Network Load Balancer verlassen.

Sie können den mit Ihren Zielen verknüpften Sicherheitsgruppen eine Regel hinzufügen, die auf die mit Ihrem Network Load Balancer verknüpfte Sicherheitsgruppe verweist. Auf diese Weise können Clients über Ihren Network Load Balancer Datenverkehr an Ihre Ziele senden, sie können jedoch keinen Datenverkehr direkt an Ihre Ziele senden. Wenn Sie in den mit Ihren Zielen verknüpften Sicherheitsgruppen auf die Ihrem Network Load Balancer zugeordnete Sicherheitsgruppe verweisen, wird sichergestellt, dass Ihre Ziele Datenverkehr von Ihrem Network Load Balancer akzeptieren, auch wenn Sie die Client-IP-Erhaltung für Ihren Network Load Balancer aktivieren.

Für Datenverkehr, der durch Sicherheitsgruppenregeln für eingehenden Datenverkehr blockiert wird, werden Ihnen keine Gebühren berechnet.

Überlegungen

  • Sie können Sicherheitsgruppen einem Network Load Balancer zuordnen, wenn Sie ihn erstellen. Wenn Sie einen Network Load Balancer erstellen, ohne Sicherheitsgruppen zuzuordnen, können Sie sie später nicht mehr mit dem Network Load Balancer verknüpfen. Wir empfehlen, dass Sie Ihrem Network Load Balancer bei der Erstellung eine Sicherheitsgruppe zuordnen.

  • Nachdem Sie einen Network Load Balancer mit zugehörigen Sicherheitsgruppen erstellt haben, können Sie die mit dem Network Load Balancer verknüpften Sicherheitsgruppen jederzeit ändern.

  • Zustandsprüfungen unterliegen Regeln für ausgehenden Datenverkehr, nicht jedoch für eingehenden. Sie müssen sicherstellen, dass Regeln für ausgehenden Datenverkehr den Zustandsprüfungsdatenverkehr nicht blockieren. Andernfalls betrachtet der Network Load Balancer die Ziele als fehlerhaft.

  • Sie können steuern, ob der PrivateLink Datenverkehr Regeln für eingehenden Datenverkehr unterliegt. Wenn Sie Regeln für eingehenden PrivateLink Datenverkehr aktivieren, ist die Quelle des Datenverkehrs die private IP-Adresse des Clients, nicht die Endpunktschnittstelle.

Die folgenden Regeln für eingehenden Datenverkehr in der Sicherheitsgruppe, die Ihrem Network Load Balancer zugeordnet ist, lassen nur Datenverkehr zu, der aus dem angegebenen Adressbereich stammt. Wenn es sich um einen internen Network Load Balancer handelt, können Sie einen VPC CIDR Bereich als Quelle angeben, um nur Datenverkehr von einem bestimmten VPC Bereich zuzulassen. Wenn es sich um einen mit dem Internet verbundenen Network Load Balancer handelt, der Datenverkehr von überall im Internet akzeptieren muss, können Sie 0.0.0.0/0 als Quelle angeben.

Eingehend
Protokoll Quelle Port-Bereich Kommentar
protocol client IP address range listener port Lässt eingehenden Datenverkehr von der Quelle am Listener-Port zu CIDR
ICMP 0.0.0.0/0 Alle Ermöglicht die Unterstützung von ICMP eingehendem Datenverkehr MTU oder Path Discovery † MTU

† Weitere Informationen finden Sie unter Path MTU Discovery im EC2Amazon-Benutzerhandbuch.

Ausgehend
Protokoll Bestimmungsort Port-Bereich Kommentar
Alle Überall Alle Erlaubt allen ausgehenden Datenverkehr

Angenommen, Ihr Network Load Balancer hat eine Sicherheitsgruppe sg-111112222233333. Verwenden Sie die folgenden Regeln in den Sicherheitsgruppen, die Ihren Ziel-Instances zugeordnet sind, um sicherzustellen, dass sie nur Datenverkehr vom Network Load Balancer akzeptieren. Sie müssen sicherstellen, dass die Ziele Datenverkehr vom Network Load Balancer sowohl auf dem Zielport als auch auf dem Health Check-Port akzeptieren. Weitere Informationen finden Sie unter Zielsicherheitsgruppen.

Eingehend
Protokoll Quelle Port-Bereich Kommentar
protocol sg-111112222233333 target port Lässt eingehenden Datenverkehr vom Network Load Balancer auf dem Zielport zu
protocol sg-111112222233333 health check Lässt eingehenden Datenverkehr vom Network Load Balancer auf dem Health Check-Port zu
Ausgehend
Protokoll Bestimmungsort Port-Bereich Kommentar
Alle Überall Any Erlaubt allen ausgehenden Datenverkehr

Aktualisieren der zugeordneten Sicherheitsgruppen

Wenn Sie bei der Erstellung mindestens eine Sicherheitsgruppe mit einem Network Load Balancer verknüpft haben, können Sie die Sicherheitsgruppen für diesen Network Load Balancer jederzeit aktualisieren.

So aktualisieren Sie Sicherheitsgruppen mithilfe der Konsole
  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich unter LOAD BALANCING die Option Load Balancers aus.

  3. Wählen Sie den Network Load Balancer aus.

  4. Wählen Sie auf der Registerkarte Sicherheit die Option Bearbeiten aus.

  5. Um Ihrem Network Load Balancer eine Sicherheitsgruppe zuzuordnen, wählen Sie sie aus. Um eine Sicherheitsgruppe aus Ihrem Network Load Balancer zu entfernen, löschen Sie sie.

  6. Wählen Sie Änderungen speichern.

Um Sicherheitsgruppen zu aktualisieren, verwenden Sie AWS CLI

Verwenden Sie den set-security-groupsBefehl.

Aktualisieren der Sicherheitseinstellungen

Standardmäßig wenden wir die Sicherheitsgruppenregeln für eingehenden Datenverkehr auf den gesamten Datenverkehr an, der an den Network Load Balancer gesendet wird. Möglicherweise möchten Sie diese Regeln jedoch nicht auf den Datenverkehr anwenden, der an den Network Load Balancer gesendet wird und der von überlappenden IP-Adressen stammen kann. AWS PrivateLink In diesem Fall können Sie den Network Load Balancer so konfigurieren, dass wir die Regeln für eingehenden Datenverkehr, über den an den Network Load Balancer gesendet wird, nicht anwenden. AWS PrivateLink

So aktualisieren Sie die Sicherheitsrichtlinieneinstellungen mithilfe der Konsole
  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich unter LOAD BALANCING die Option Load Balancers aus.

  3. Wählen Sie den Network Load Balancer aus.

  4. Wählen Sie auf der Registerkarte Sicherheit die Option Bearbeiten aus.

  5. Deaktivieren Sie unter Sicherheitseinstellungen die Option Regeln für eingehenden Datenverkehr durchsetzen. PrivateLink

  6. Wählen Sie Änderungen speichern.

Um die Sicherheitseinstellungen zu aktualisieren, verwenden Sie AWS CLI

Verwenden Sie den set-security-groupsBefehl.

Sicherheitsgruppen des Network Load Balancer überwachen

Verwenden Sie die SecurityGroupBlockedFlowCount_Outbound CloudWatch Metriken SecurityGroupBlockedFlowCount_Inbound und, um die Anzahl der Datenflüsse zu überwachen, die von den Network Load Balancer Balancer-Sicherheitsgruppen blockiert werden. Blockierter Datenverkehr spiegelt sich nicht in anderen Metriken wider. Weitere Informationen finden Sie unter CloudWatch Metriken für Ihren Network Load Balancer.

Verwenden Sie VPC Flussprotokolle, um den Datenverkehr zu überwachen, der von den Network Load Balancer Balancer-Sicherheitsgruppen akzeptiert oder abgelehnt wird. Weitere Informationen finden Sie unter VPCFlow Logs im VPCAmazon-Benutzerhandbuch.