Considerações Exemplo: filtro de tráfego de clientes Exemplo: aceitar tráfego somente do Network Load Balancer Atualizar os grupos de segurança associados Atualizar as configurações de segurança Monitorar grupos de segurança do Network Load Balancer

Atualizar os grupos de segurança para o Network Load Balancer

É possível associar um grupo de segurança ao Network Load Balancer para controlar o tráfego que tem permissão para acessar e sair do Network Load Balancer. Você especifica as portas, os protocolos e as fontes para permitir o tráfego de entrada, e as portas, os protocolos e os destinos para permitir o tráfego de saída. Se você não atribuir um grupo de segurança ao Network Load Balancer, todo o tráfego do cliente poderá alcançar os receptores do balanceador de carga e todo o tráfego poderá sair do Network Load Balancer.

Você pode adicionar uma regra aos grupos de segurança associados aos seus destinos que faça referência ao grupo de segurança associado ao Network Load Balancer. Isso permite que os clientes enviem tráfego para seus destinos por meio do Network Load Balancer, mas impede que eles enviem tráfego diretamente para seus destinos. Fazer referência ao grupo de segurança associado ao Network Load Balancer nos grupos de segurança associados aos destinos garante que os destinos aceitem o tráfego do Network Load Balancer, mesmo que você habilite a preservação do IP do cliente para o Network Load Balancer.

Você não é cobrado pelo tráfego que é bloqueado pelas regras de entrada do grupo de segurança.

Conteúdo

Considerações
Exemplo: filtro de tráfego de clientes
Exemplo: aceitar tráfego somente do Network Load Balancer
Atualizar os grupos de segurança associados
Atualizar as configurações de segurança
Monitorar grupos de segurança do Network Load Balancer

Considerações

Você pode associar grupos de segurança a um Network Load Balancer quando criá-lo. Se você criar um Network Load Balancer sem associar grupos de segurança, não poderá associá-los ao Network Load Balancer posteriormente. Recomendamos associar um grupo de segurança ao Network Load Balancer ao criá-lo.
Caso crie um Network Load Balancer com grupos de segurança associados, você poderá mudar os grupos de segurança associados ao Network Load Balancer a qualquer momento.
As verificações de integridade estão sujeitas às regras de saída, mas não às regras de entrada. Você deve garantir que as regras de saída não bloqueiem o tráfego da verificação de integridade. Caso contrário, o Network Load Balancer considerará os destinos não íntegros.
Você pode controlar se o PrivateLink tráfego está sujeito às regras de entrada. Se você habilitar regras de entrada no PrivateLink tráfego, a origem do tráfego será o endereço IP privado do cliente, não a interface do endpoint.

Exemplo: filtro de tráfego de clientes

As regras de entrada a seguir no grupo de segurança associado ao Network Load Balancer só permitem tráfego proveniente do intervalo de endereços especificado. Para um Network Load Balancer interno, você poderá especificar um intervalo CIDR de VPC como origem para permitir somente tráfego de uma VPC específica. Para um Network Load Balancer voltado para a Internet que precise aceitar tráfego de qualquer lugar na Internet, você poderá especificar 0.0.0.0/0 como origem.

Entrada
Protocolo	Origem	Intervalo de portas	Comentário
`protocol`	`client IP address range`	`listener port`	Permite tráfego de entrada do CIDR de origem na porta do receptor
ICMP	0.0.0.0/0	Todos	Permite que o tráfego ICMP de entrada dê suporte a MTU ou a Path MTU Discovery †

† Para obter mais informações, consulte Path MTU Discovery no Guia do EC2 usuário da Amazon.

Saída
Protocolo	Destino	Intervalo de portas	Comentário
Todos	Qualquer lugar	Todos	Permite todo o tráfego de saída

Exemplo: aceitar tráfego somente do Network Load Balancer

Suponha que o Network Load Balancer tenha um grupo de segurança sg-111112222233333. Use as regras a seguir nos grupos de segurança associados às instâncias de destino para garantir que elas aceitem tráfego somente do Network Load Balancer. Você deve garantir que os destinos aceitem o tráfego do Network Load Balancer na porta de destino e na porta de verificação de integridade. Para obter mais informações, consulte Grupos de segurança de destino.

Entrada
Protocolo	Origem	Intervalo de portas	Comentário
`protocol`	sg-111112222233333	`target port`	Permite tráfego de entrada do Network Load Balancer na porta de destino
`protocol`	sg-111112222233333	`health check`	Permite tráfego de entrada do Network Load Balancer na porta de verificação de integridade

Saída
Protocolo	Destino	Intervalo de portas	Comentário
Todos	Qualquer lugar	Any	Permite todo o tráfego de saída

Atualizar os grupos de segurança associados

Se você tiver associado pelo menos um grupo de segurança a um Network Load Balancer ao criá-lo, poderá atualizar os grupos de segurança desse Network Load Balancer a qualquer momento.

Para atualizar security groups usando o console

Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.
No painel de navegação, em Load Balancing (Balanceamento de carga), escolha Load balancers (Balanceadores de carga).
Selecione o Network Load Balancer.
Na guia Segurança, escolha Editar.
Para associar um grupo de segurança ao seu Network Load Balancer, selecione-o. Para remover um grupo de segurança do seu Network Load Balancer, desmarque-o.
Escolha Salvar alterações.

Para atualizar grupos de segurança usando o AWS CLI

Use o comando set-security-groups.

Atualizar as configurações de segurança

Por padrão, aplicamos as regras do grupo de segurança de entrada a todo o tráfego enviado ao Network Load Balancer. No entanto, talvez você não queira aplicar essas regras ao tráfego enviado ao Network Load Balancer por meio do Network Load Balancer AWS PrivateLink, que pode ser originado da sobreposição de endereços IP. Nesse caso, você pode configurar o Network Load Balancer para que não apliquemos as regras de entrada para o tráfego enviado ao Network Load Balancer por meio de. AWS PrivateLink

Atualizar as configurações de segurança usando o console

Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.
No painel de navegação, em Load Balancing (Balanceamento de carga), escolha Load balancers (Balanceadores de carga).
Selecione o Network Load Balancer.
Na guia Segurança, escolha Editar.
Em Configuração de segurança, desmarque Aplicar regras de entrada no tráfego. PrivateLink
Escolha Salvar alterações.

Para atualizar as configurações de segurança usando o AWS CLI

Use o comando set-security-groups.

Monitorar grupos de segurança do Network Load Balancer

Use as SecurityGroupBlockedFlowCount_Outbound CloudWatch métricas SecurityGroupBlockedFlowCount_Inbound e para monitorar a contagem de fluxos bloqueados pelos grupos de segurança do Network Load Balancer. O tráfego bloqueado não é refletido em outras métricas. Para obter mais informações, consulte CloudWatch métricas para seu Network Load Balancer.

Use os logs de fluxo da VPC para monitorar o tráfego aceito ou rejeitado pelos grupos de segurança do Network Load Balancer. Para obter mais informações, consulte Logs de fluxo da VPC no Guia do usuário da Amazon VPC.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Editar atributos do Network Load Balancer

Marcar um balanceador de carga