Grupos de segurança para seu Application Load Balancer - Elastic Load Balancing
Regras recomendadasAtualizar os grupos de segurança associados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Grupos de segurança para seu Application Load Balancer

O grupo de segurança do seu Application Load Balancer controla o tráfego que tem permissão para acessar e deixar o balanceador de carga. Você deve garantir que seu load balancer consiga se comunicar com destinos registrados tanto na porta do listener quanto na porta de verificação de integridade. Sempre que você adicionar um listener ao load balancer ou atualizar a porta de verificação de integridade de um grupo de destino usado pelo load balancer para rotear as solicitações, será necessário verificar se os security groups associados ao load balancer permitem tráfego na nova porta em ambas as direções. Caso não façam isso, você poderá editar as regras para os grupos de segurança associados na ocasião ou associar diferentes grupos de segurança ao balanceador de carga. É possível escolher as portas e os protocolos que deseja permitir. Por exemplo, você pode abrir conexões ICMP (Internet Control Message Protocol) para o load balancer responder às solicitações de ping (no entanto, as solicitações de ping não são encaminhadas a nenhuma instância).

As regras a seguir são recomendadas para um balanceador de carga voltado para a Internet.

Inbound
Source Port Range Comment

0.0.0.0/0

listener

Permite todo o tráfego de entrada na porta do listener do load balancer

Outbound

Destination Port Range Comment

security group da instância

listener da instância

Permitir tráfego de saída para instâncias na porta do ouvinte da instância

security group da instância

verificação de saúde

Permitir tráfego de saída para instâncias na porta de verificação de integridade

A regras a seguir são recomendadas para um balanceador de carga interno.

Inbound
Source Port Range Comment

CIDR DA VPC

listener

Permite tráfego de entrada do CIDR da VPC na porta do listener do load balancer

Outbound

Destination Port Range Comment

security group da instância

listener da instância

Permitir tráfego de saída para instâncias na porta do ouvinte da instância

security group da instância

verificação de saúde

Permitir tráfego de saída para instâncias na porta de verificação de integridade

As regras a seguir são recomendadas para um Application Load Balancer usado como destino de um Network Load Balancer.

Inbound
Source Port Range Comment

Endereços IP/CIDR do cliente

alb listener

Permitir todo o tráfego de entrada de cliente na porta do receptor do balanceador de carga.

CIDR DA VPC

alb listener

Permitir o tráfego de entrada do cliente pela porta do AWS PrivateLink ouvinte do balanceador de carga

CIDR DA VPC

alb listener

Permitir tráfego de entrada de integridade proveniente do Network Load Balancer

Outbound

Destination Port Range Comment

security group da instância

listener da instância

Permitir tráfego de saída para instâncias na porta do ouvinte da instância

security group da instância

verificação de saúde

Permitir tráfego de saída para instâncias na porta de verificação de integridade

Observe que os grupos de segurança do Application Load Balancer usam o rastreamento da conexão para monitorar as informações sobre o tráfego proveniente do Network Load Balancer. Isso acontece independentemente das regras do grupo de segurança definidas para seu Application Load Balancer. Para saber mais sobre o rastreamento de conexão do Amazon EC2, consulte Rastreamento de conexões de grupos de segurança no Guia do usuário do Amazon EC2.

Para garantir que seus alvos recebam tráfego exclusivamente do balanceador de carga, restrinja os grupos de segurança associados aos seus alvos para aceitar tráfego somente do balanceador de carga. Isso pode ser feito definindo o grupo de segurança do balanceador de carga como a origem na regra de entrada do grupo de segurança do alvo.

Recomendamos também que você permita a entrada de tráfego ICMP para oferecer suporte ao Path MTU Discovery. Para obter mais informações, consulte Path MTU Discovery no Guia do usuário do Amazon EC2.

Atualizar os grupos de segurança associados

Você pode atualizar os security groups associados ao seu load balancer a qualquer momento.

Para atualizar security groups usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Balanceador de carga.

  3. Selecione o load balancer.

  4. Na guia Segurança, escolha Editar.

  5. Para associar um security group ao seu load balancer, selecione-o. Para remover uma associação de grupo de segurança, escolha o ícone X para o grupo de segurança.

  6. Escolha Salvar alterações.

Para atualizar grupos de segurança usando o AWS CLI

Use o comando set-security-groups.