Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Actualización de los grupos de seguridad del equilibrador de carga de red
Puede asociar un grupo de seguridad al equilibrador de carga de red para controlar el tráfico que tiene permitido llegar y salir del equilibrador de carga de red. Debe especificar los puertos, los protocolos y los orígenes para permitir el tráfico entrante y los puertos, protocolos y destinos a fin de permitir el tráfico saliente. Si no asigna un grupo de seguridad al equilibrador de carga de red, todo el tráfico de los clientes puede llegar a los oyentes del equilibrador de carga de red y todo el tráfico puede salir de este.
Puede agregar una regla a los grupos de seguridad asociados a sus destinos que haga referencia al grupo de seguridad asociado a su equilibrador de carga de red. Esto permite que los clientes envíen tráfico a los destinos a través del equilibrador de carga de red, pero impide que envíen tráfico a los destinos directamente. Hacer referencia al grupo de seguridad asociado al equilibrador de carga de red en los grupos de seguridad asociados a los destinos garantiza que estos últimos acepten el tráfico del equilibrador de carga de red incluso si habilita la preservación de la IP del cliente para el equilibrador de carga de red.
No se le cobrará por el tráfico que se encuentre bloqueado por las reglas del grupo de seguridad entrante.
Contenido
Consideraciones
-
Puede asociar grupos de seguridad a un equilibrador de carga de red al crearlo. Si crea un equilibrador de carga de red sin asociarle ningún grupo de seguridad, no podrá asociárselos al equilibrador de carga de red más adelante. Se recomienda asociar un grupo de seguridad al equilibrador de carga de red cuando se cree este.
-
Después de crear un equilibrador de carga de red con grupos de seguridad asociados, puede cambiar los grupos de seguridad asociados al equilibrador de carga de red en cualquier momento.
-
Las comprobaciones de estado se encuentran sujetas a las reglas de salida, pero no a las de entrada. Debe asegurarse de que las reglas de salida no bloqueen el tráfico de la comprobación de estado. De lo contrario, el equilibrador de carga de red considera que los destinos se encuentran en mal estado.
-
Puede controlar si el PrivateLink tráfico está sujeto a las reglas de entrada. Si habilita las reglas de entrada en el PrivateLink tráfico, el origen del tráfico es la dirección IP privada del cliente, no la interfaz del punto final.
Ejemplo: Filtrar el tráfico de clientes
Las siguientes reglas de entrada del grupo de seguridad asociado a su equilibrador de carga de red solo permiten el tráfico que proviene del rango de direcciones especificado. Si se trata de un Network Load Balancer interno, puede especificar un VPC CIDR rango como origen para permitir solo el tráfico de un área específica. VPC Si se trata de un equilibrador de carga de red con acceso a Internet que debe aceptar tráfico desde cualquier parte de Internet, puede especificar 0.0.0.0/0 como origen.
| Protocolo | Origen | Intervalo de puertos | Comentario |
|---|---|---|---|
protocol |
client IP address range |
listener port |
Permite el tráfico entrante desde la fuente CIDR en el puerto de escucha |
| ICMP | 0.0.0.0/0 | Todos | Permite que el ICMP tráfico entrante sea compatible con Path Discovery MTU † MTU |
† Para obtener más información, consulta Path MTU Discovery en la Guía del EC2 usuario de Amazon.
| Protocolo | Destino | Intervalo de puertos | Comentario |
|---|---|---|---|
| Todos | Cualquier lugar | Todos | Permite todo el tráfico de salida |
Ejemplo: Aceptar tráfico solo procedente del equilibrador de carga de red
Suponga que su equilibrador de carga de red cuenta con un grupo de seguridad sg-111112222233333. Utilice las siguientes reglas en los grupos de seguridad asociados a sus instancias de destino para asegurarse de que solo acepten tráfico del equilibrador de carga de red. Debe asegurarse de que los destinos acepten tráfico procedente del equilibrador de carga de red tanto en el puerto de destino como en el puerto de comprobación de estado. Para obtener más información, consulte Grupos de seguridad de destino.
| Protocolo | Origen | Intervalo de puertos | Comentario |
|---|---|---|---|
protocol |
sg-111112222233333 | target port |
Permite tráfico entrante procedente del equilibrador de carga de red en el puerto de destino |
protocol |
sg-111112222233333 | health check |
Permite tráfico entrante procedente del equilibrador de carga de red en el puerto de comprobación de estado |
| Protocolo | Destino | Intervalo de puertos | Comentario |
|---|---|---|---|
| Todos | Cualquier lugar | Cualquiera | Permite todo el tráfico de salida |
Actualizar los grupos de seguridad asociados
Si asoció al menos un grupo de seguridad a un equilibrador de carga de red cuando lo creó, puede actualizar los grupos de seguridad de ese equilibrador de carga de red en cualquier momento.
Para actualizar los grupos de seguridad desde la consola
Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/
. -
En el panel de navegación, en Equilibrio de carga, elija Equilibradores de carga.
-
Seleccione el equilibrador de carga de red.
-
En la pestaña Seguridad, seleccione Editar.
-
Para asociar un grupo de seguridad al equilibrador de carga de red, selecciónelo. Para eliminar un grupo de seguridad del equilibrador de carga de red, desmárquelo.
-
Elija Guardar cambios.
Para actualizar los grupos de seguridad mediante AWS CLI
Utilice el set-security-groupscomando.
Actualizar la configuración de seguridad
De manera predeterminada, aplicamos las reglas de entrada del grupo de seguridad a todo el tráfico enviado al equilibrador de carga de red. Sin embargo, es posible que no desee aplicar estas reglas al tráfico enviado al Network Load Balancer a través de él AWS PrivateLink, que puede provenir de direcciones IP superpuestas. En este caso, puede configurar el Network Load Balancer para que no apliquemos las reglas entrantes al tráfico enviado al Network Load Balancer a través de él. AWS PrivateLink
Para actualizar la configuración de seguridad a través de la consola
Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/
. -
En el panel de navegación, en Equilibrio de carga, elija Equilibradores de carga.
-
Seleccione el equilibrador de carga de red.
-
En la pestaña Seguridad, seleccione Editar.
-
En Configuración de seguridad, desactive Hacer cumplir las reglas de entrada sobre el PrivateLink tráfico.
-
Elija Guardar cambios.
Para actualizar la configuración de seguridad mediante la AWS CLI
Utilice el set-security-groupscomando.
Monitoreo de grupos de seguridad del equilibrador de carga de red
Utilice las SecurityGroupBlockedFlowCount_Outbound CloudWatch métricas SecurityGroupBlockedFlowCount_Inbound y para supervisar el recuento de flujos que están bloqueados por los grupos de seguridad de Network Load Balancer. El tráfico bloqueado no se refleja en otras métricas. Para obtener más información, consulte CloudWatch métricas para su Network Load Balancer.
Utilice los registros de VPC flujo para supervisar el tráfico que aceptan o rechazan los grupos de seguridad de Network Load Balancer. Para obtener más información, consulta los registros de VPC flujo en la Guía del VPC usuario de Amazon.
