Memperbarui grup keamanan untuk Network Load Balancer - Elastic Load Balancing

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memperbarui grup keamanan untuk Network Load Balancer

Anda dapat mengaitkan grup keamanan dengan Network Load Balancer untuk mengontrol lalu lintas yang diizinkan untuk mencapai dan meninggalkan Network Load Balancer. Anda menentukan port, protokol, dan sumber untuk memungkinkan lalu lintas masuk dan port, protokol, dan tujuan untuk memungkinkan lalu lintas keluar. Jika Anda tidak menetapkan grup keamanan ke Network Load Balancer Anda, semua lalu lintas klien dapat mencapai pendengar Network Load Balancer dan semua lalu lintas dapat meninggalkan Network Load Balancer.

Anda dapat menambahkan aturan ke grup keamanan yang terkait dengan target Anda yang mereferensikan grup keamanan yang terkait dengan Network Load Balancer Anda. Ini memungkinkan klien untuk mengirim lalu lintas ke target Anda melalui Network Load Balancer Anda, tetapi mencegah mereka mengirim lalu lintas langsung ke target Anda. Mereferensikan grup keamanan yang terkait dengan Network Load Balancer Anda di grup keamanan yang terkait dengan target Anda memastikan bahwa target Anda menerima lalu lintas dari Network Load Balancer meskipun Anda mengaktifkan pelestarian IP klien untuk Network Load Balancer Anda.

Anda tidak dikenakan biaya untuk lalu lintas yang diblokir oleh aturan grup keamanan masuk.

Pertimbangan

  • Anda dapat mengaitkan grup keamanan dengan Network Load Balancer saat membuatnya. Jika Anda membuat Network Load Balancer tanpa mengaitkan grup keamanan apa pun, Anda tidak dapat mengaitkannya dengan Network Load Balancer nanti. Kami menyarankan Anda mengaitkan grup keamanan dengan Network Load Balancer saat Anda membuatnya.

  • Setelah membuat Network Load Balancer dengan grup keamanan terkait, Anda dapat mengubah grup keamanan yang terkait dengan Network Load Balancer kapan saja.

  • Pemeriksaan kesehatan tunduk pada aturan keluar, tetapi tidak aturan masuk. Anda harus memastikan bahwa aturan keluar tidak memblokir lalu lintas pemeriksaan kesehatan. Jika tidak, Network Load Balancer menganggap target tidak sehat.

  • Anda dapat mengontrol apakah PrivateLink lalu lintas tunduk pada aturan masuk. Jika Anda mengaktifkan aturan masuk pada PrivateLink lalu lintas, sumber lalu lintas adalah alamat IP pribadi klien, bukan antarmuka titik akhir.

Aturan masuk berikut dalam grup keamanan yang terkait dengan Network Load Balancer Anda hanya mengizinkan lalu lintas yang berasal dari rentang alamat yang ditentukan. Jika ini adalah Network Load Balancer internal, Anda dapat menentukan VPC CIDR rentang sebagai sumber untuk mengizinkan hanya lalu lintas dari yang spesifik. VPC Jika ini adalah Network Load Balancer yang menghadap ke internet yang harus menerima lalu lintas dari mana saja di internet, Anda dapat menentukan 0.0.0.0/0 sebagai sumbernya.

Ke dalam
Protokol Sumber Rentang port Komentar
protocol client IP address range listener port Mengizinkan lalu lintas masuk dari sumber CIDR di port pendengar
ICMP 0.0.0.0/0 Semua Memungkinkan ICMP lalu lintas masuk untuk mendukung MTU atau Path MTU Discovery †

† Untuk informasi selengkapnya, lihat MTUPenemuan Jalur di Panduan EC2 Pengguna Amazon.

Ke luar
Protokol Tujuan Rentang port Komentar
Semua Dimanapun Semua Mengizinkan semua lalu lintas ke luar

Misalkan Network Load Balancer Anda memiliki grup keamanan sg-111112222233333. Gunakan aturan berikut dalam grup keamanan yang terkait dengan instans target Anda untuk memastikan bahwa mereka hanya menerima lalu lintas dari Network Load Balancer. Anda harus memastikan bahwa target menerima lalu lintas dari Network Load Balancer pada port target dan port pemeriksaan kesehatan. Untuk informasi selengkapnya, lihat Menargetkan grup keamanan.

Ke dalam
Protokol Sumber Rentang port Komentar
protocol sg-111112222233333 target port Memungkinkan lalu lintas masuk dari Network Load Balancer pada port target
protocol sg-111112222233333 health check Memungkinkan lalu lintas masuk dari Network Load Balancer di port pemeriksaan kesehatan
Ke luar
Protokol Tujuan Rentang port Komentar
Semua Dimanapun Setiap Mengizinkan semua lalu lintas ke luar

Memperbarui grup keamanan terkait

Jika Anda mengaitkan setidaknya satu grup keamanan dengan Network Load Balancer saat membuatnya, Anda dapat memperbarui grup keamanan untuk Network Load Balancer tersebut kapan saja.

Untuk memperbarui grup keamanan menggunakan konsol
  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pada panel navigasi, di bawah PENYEIMBANGAN BEBAN, pilih Penyeimbang beban.

  3. Pilih Network Load Balancer.

  4. Pada tab Keamanan, pilih Edit.

  5. Untuk mengaitkan grup keamanan dengan Network Load Balancer Anda, pilih. Untuk menghapus grup keamanan dari Network Load Balancer Anda, bersihkan.

  6. Pilih Simpan perubahan.

Untuk memperbarui grup keamanan menggunakan AWS CLI

Gunakan perintah set-security-groups.

Perbarui pengaturan keamanan

Secara default, kami menerapkan aturan grup keamanan masuk ke semua lalu lintas yang dikirim ke Network Load Balancer. Namun, Anda mungkin tidak ingin menerapkan aturan ini ke lalu lintas yang dikirim ke Network Load Balancer melalui AWS PrivateLink, yang dapat berasal dari alamat IP yang tumpang tindih. Dalam hal ini, Anda dapat mengkonfigurasi Network Load Balancer sehingga kami tidak menerapkan aturan inbound untuk lalu lintas yang dikirim ke Network Load Balancer melalui. AWS PrivateLink

Untuk memperbarui pengaturan keamanan menggunakan konsol
  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pada panel navigasi, di bawah PENYEIMBANGAN BEBAN, pilih Penyeimbang beban.

  3. Pilih Network Load Balancer.

  4. Pada tab Keamanan, pilih Edit.

  5. Di bawah pengaturan Keamanan, hapus Menegakkan aturan masuk tentang PrivateLink lalu lintas.

  6. Pilih Simpan perubahan.

Untuk memperbarui pengaturan keamanan menggunakan AWS CLI

Gunakan perintah set-security-groups.

Monitor grup keamanan Network Load Balancer

Gunakan SecurityGroupBlockedFlowCount_Outbound CloudWatch metrik SecurityGroupBlockedFlowCount_Inbound dan untuk memantau jumlah aliran yang diblokir oleh grup keamanan Network Load Balancer. Lalu lintas yang diblokir tidak tercermin dalam metrik lain. Untuk informasi selengkapnya, lihat CloudWatch metrik untuk Network Load Balancer Anda.

Gunakan log VPC alur untuk memantau lalu lintas yang diterima atau ditolak oleh grup keamanan Network Load Balancer. Untuk informasi selengkapnya, lihat log VPC alur di Panduan VPC Pengguna Amazon.