Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gruppi di sicurezza per l'Application Load Balancer
Il gruppo di sicurezza dell'Application Load Balancer controlla il traffico a cui viene consentito di raggiungere e lasciare il sistema di bilanciamento del carico. Devi accertarti che il sistema di bilanciamento del carico sia in grado di comunicare con i target registrati sia attraverso la porta del listener sia attraverso la porta di controllo dello stato. Quando aggiungi un listener al tuo sistema di bilanciamento del carico o aggiorni la porta di controllo dello stato per un gruppo target di cui il sistema di bilanciamento del carico si serve per instradare le richieste, devi verificare che i gruppi di sicurezza associati al sistema di bilanciamento del carico permettano il traffico bidirezionale attraverso la nuova porta. Se così non è, è possibile modificare le regole per i gruppi di sicurezza attualmente associati o associare al sistema di bilanciamento del carico dei gruppi di sicurezza diversi. È possibile scegliere le porte e i protocolli da consentire. Ad esempio, puoi aprire connessioni ICMP (Internet Control Message Protocol) per il load balancer per rispondere a richieste di ping (tuttavia, le richieste di ping non vengono inoltrate a tutte le istanze).
**Considerazioni**
+ Per garantire che i target ricevano traffico esclusivamente dal sistema di bilanciamento del carico, limita i gruppi di sicurezza associati ai target in modo che accettino il traffico esclusivamente dal sistema di bilanciamento del carico. Ciò può essere ottenuto impostando il gruppo di sicurezza del load balancer come origine nella regola di ingresso del gruppo di sicurezza della destinazione.
+ Se l'Application Load Balancer è il bersaglio di un Network Load Balancer, i gruppi di sicurezza dell'Application Load Balancer utilizzano il tracciamento delle connessioni per tenere traccia delle informazioni sul traffico proveniente dal Network Load Balancer. Questo si verifica a prescindere dalle regole del gruppo di sicurezza impostate per l'Application Load Balancer. Per ulteriori informazioni, consulta [Tracciamento delle connessioni dei gruppi di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) nella Guida per l'*utente di Amazon EC2*.
+ Ti consigliamo di consentire al traffico ICMP in entrata di supportare Path MTU Discovery. Per ulteriori informazioni, consulta [Path MTU Discovery](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html#path_mtu_discovery) nella *Amazon EC2* User Guide.
## Regole consigliate
Le seguenti regole sono consigliate per un sistema di bilanciamento del carico connesso a Internet con istanze come obiettivi.
|
|
| **Inbound** |
| --- |
| Source | Port Range | Comment |
| 0.0.0.0/0 | *listener* | Consente tutto il traffico in entrata sulla porta del listener del load balancer |
| **Outbound** |
| --- |
| Destination | Port Range | Comment |
| *instance security group* | *instance listener* | Consente il traffico in uscita verso le istanze sulla porta del listener dell'istanza |
| *instance security group* | *health check* | Permette il traffico in uscita verso le istanze attraverso la porta di controllo dello stato |
Le seguenti regole sono consigliate per un sistema di bilanciamento del carico interno con istanze come destinazioni.
|
|
| **Inbound** |
| --- |
| Source | Port Range | Comment |
| *VPC CIDR* | *listener* | Consente il traffico in entrata dal CIDR VPC sulla porta del listener del load balancer. |
| **Outbound** |
| --- |
| Destination | Port Range | Comment |
| *instance security group* | *instance listener* | Consente il traffico in uscita verso le istanze sulla porta del listener dell'istanza |
| *instance security group* | *health check* | Permette il traffico in uscita verso le istanze attraverso la porta di controllo dello stato |
Le seguenti regole sono consigliate per un Application Load Balancer con istanze come destinazioni che a sua volta è una destinazione di un Network Load Balancer.
|
|
| **Inbound** |
| --- |
| Source | Port Range | Comment |
| *client IP addresses/CIDR* | *`alb `listener* | Permette il traffico client in entrata sulla porta dell'ascoltatore del sistema di bilanciamento del carico |
| *VPC CIDR* | *`alb `listener* | Consenti il traffico client in entrata tramite la porta listener del AWS PrivateLink load balancer |
| *VPC CIDR* | *`alb `listener* | Autorizza il traffico integro in entrata dal Network Load Balancer |
| **Outbound** |
| --- |
| Destination | Port Range | Comment |
| *instance security group* | *instance listener* | Consente il traffico in uscita verso le istanze sulla porta del listener dell'istanza |
| *instance security group* | *health check* | Permette il traffico in uscita verso le istanze attraverso la porta di controllo dello stato |
## Aggiornare i gruppi di sicurezza associati
Puoi aggiornare i gruppi di sicurezza associati al tuo sistema di bilanciamento del carico in qualsiasi momento.
------
#### [ Console ]
**Per aggiornare i gruppi di sicurezza**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Seleziona **Sistemi di bilanciamento del carico** nel riquadro di navigazione.
1. Selezionare il load balancer.
1. Nella scheda **Sicurezza**, scegli **Modifica**.
1. Per associare un gruppo di sicurezza al sistema di bilanciamento del carico, selezionalo. Per rimuovere l'associazione a un gruppo di sicurezza, scegli l'icona **X** relativa a tale gruppo di sicurezza.
1. Scegli **Save changes** (Salva modifiche).
------
#### [ AWS CLI ]
**Per aggiornare i gruppi di sicurezza**
Utilizza il comando [set-security-groups](https://docs.aws.amazon.com/cli/latest/reference/elbv2/set-security-groups.html).
```
aws elbv2 set-security-groups \
--load-balancer-arn load-balancer-arn \
--security-groups sg-01dd3383691d02f42 sg-00f4e409629f1a42d
```
------
#### [ CloudFormation ]
**Per aggiornare i gruppi di sicurezza**
Aggiorna la [AWS::ElasticLoadBalancingV2::LoadBalancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-loadbalancer.html)risorsa.
```
Resources:
myLoadBalancer:
Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
Properties:
Name: my-alb
Type: application
Scheme: internal
Subnets:
- !Ref subnet-AZ1
- !Ref subnet-AZ2
SecurityGroups:
- !Ref mySecurityGroup
- !Ref myNewSecurityGroup
```
------