As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Grupos de segurança para o Network Load Balancer
Você pode associar um grupo de segurança ao Network Load Balancer para controlar o tráfego que tem permissão para acessar e sair do balanceador de carga. Você especifica as portas, os protocolos e as fontes para permitir o tráfego de entrada, e as portas, os protocolos e os destinos para permitir o tráfego de saída. Se você não atribuir um grupo de segurança ao balanceador de carga, todo o tráfego do cliente poderá alcançar os receptores do balanceador de carga e todo o tráfego poderá sair do balanceador de carga.
Você pode adicionar uma regra aos grupos de segurança associados aos seus destinos que faça referência ao grupo de segurança associado ao Network Load Balancer. Isso permite que os clientes enviem tráfego para seus destinos por meio do balanceador de carga, mas impede que eles enviem tráfego diretamente para seus destinos. Fazer referência ao grupo de segurança associado ao Network Load Balancer nos grupos de segurança associados aos destinos garante que os destinos aceitem o tráfego do balanceador de carga, mesmo que você habilite a preservação do IP do cliente para o balanceador de carga.
Você não é cobrado pelo tráfego que é bloqueado pelas regras de entrada do grupo de segurança.
Conteúdo
Considerações
-
Você pode associar grupos de segurança a um Network Load Balancer quando criá-lo. Se você criar um Network Load Balancer sem associar grupos de segurança, não poderá associá-los ao balanceador de carga posteriormente. Recomendamos que você associe um grupo de segurança ao balanceador de carga quando criá-lo.
-
Caso crie um Network Load Balancer com grupos de segurança associados, você poderá mudar os grupos de segurança associados ao balanceador de carga a qualquer momento.
-
As verificações de integridade estão sujeitas às regras de saída, mas não às regras de entrada. Você deve garantir que as regras de saída não bloqueiem o tráfego da verificação de integridade. Caso contrário, o balanceador de carga considerará os destinos não íntegros.
-
Você pode controlar se o PrivateLink tráfego está sujeito às regras de entrada. Se você habilitar regras de entrada no PrivateLink tráfego, a origem do tráfego será o endereço IP privado do cliente, não a interface do endpoint.
Exemplo: filtro de tráfego de clientes
As regras de entrada a seguir no grupo de segurança associado ao Network Load Balancer só permitem tráfego proveniente do intervalo de endereços especificado. Se for um balanceador de carga interno, você poderá especificar um intervalo CIDR de VPC como origem para permitir somente tráfego de uma VPC específica. Se for um balanceador de carga voltado para a Internet que precise aceitar tráfego de qualquer lugar na Internet, você poderá especificar 0.0.0.0/0 como origem.
Entrada | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Protocolo | Origem | Intervalo de portas | Comentário | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
protocol |
intervalo de endereços IP do cliente |
porta do receptor |
Permite tráfego de entrada do CIDR de origem na porta do receptor | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ICMP | 0.0.0.0/0 | Todos | Permite que o tráfego ICMP de entrada dê suporte a MTU ou a Path MTU Discovery † | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
† Para obter mais informações, consulte Path MTU Discovery no Guia do usuário do Amazon EC2.
Saída | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Protocolo | Destino | Intervalo de portas | Comentário | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Todos | Qualquer lugar | Todos | Permite todo o tráfego de saída | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Exemplo: aceitar tráfego somente do balanceador de carga
Suponha que o Network Load Balancer tenha um grupo de segurança sg-111112222233333. Use as regras a seguir nos grupos de segurança associados às instâncias de destino para garantir que elas aceitem tráfego somente do Network Load Balancer. Você deve garantir que os destinos aceitem o tráfego do balanceador de carga na porta de destino e na porta de verificação de integridade. Para ter mais informações, consulte Grupos de segurança de destino.
Entrada | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Protocolo | Origem | Intervalo de portas | Comentário | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
protocol |
sg-111112222233333 | porta de destino |
Permite tráfego de entrada do balanceador de carga na porta de destino | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
protocol |
sg-111112222233333 | verificação de saúde |
Permite tráfego de entrada do balanceador de carga na porta de verificação de integridade | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Saída | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Protocolo | Destino | Intervalo de portas | Comentário | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Todos | Qualquer lugar | Any | Permite todo o tráfego de saída | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Atualizar os grupos de segurança associados
Se você tiver associado pelo menos um grupo de segurança a um balanceador de carga ao criá-lo, poderá atualizar os grupos de segurança desse balanceador de carga a qualquer momento.
Para atualizar security groups usando o console
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/
. -
No painel de navegação, em Load Balancing (Balanceamento de carga), escolha Load balancers (Balanceadores de carga).
-
Selecione o load balancer.
-
Na guia Segurança, escolha Editar.
-
Para associar um security group ao seu load balancer, selecione-o. Para remover um security group do seu load balancer, desmarque-o.
-
Escolha Salvar alterações.
Para atualizar grupos de segurança usando o AWS CLI
Use o comando set-security-groups.
Atualizar as configurações de segurança
Por padrão, aplicamos as regras do grupo de segurança de entrada a todo o tráfego enviado ao balanceador de carga. No entanto, talvez você não queira aplicar essas regras ao tráfego enviado ao balanceador de carga por meio do balanceador de carga AWS PrivateLink, que pode ser originado da sobreposição de endereços IP. Nesse caso, você pode configurar o balanceador de carga para que não apliquemos as regras de entrada para o tráfego enviado ao balanceador de carga por meio dele. AWS PrivateLink
Atualizar as configurações de segurança usando o console
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/
. -
No painel de navegação, em Load Balancing (Balanceamento de carga), escolha Load balancers (Balanceadores de carga).
-
Selecione o load balancer.
-
Na guia Segurança, escolha Editar.
-
Em Configuração de segurança, desmarque Aplicar regras de entrada no tráfego. PrivateLink
-
Escolha Salvar alterações.
Para atualizar as configurações de segurança usando o AWS CLI
Use o comando set-security-groups.
Monitirar grupos de segurança do balanceador de carga
Use as SecurityGroupBlockedFlowCount_Outbound CloudWatch métricas SecurityGroupBlockedFlowCount_Inbound e para monitorar a contagem de fluxos bloqueados pelos grupos de segurança do balanceador de carga. O tráfego bloqueado não é refletido em outras métricas. Para ter mais informações, consulte CloudWatch métricas para seu Network Load Balancer.
Use os logs de fluxo da VPC para monitorar o tráfego aceito ou rejeitado pelos grupos de segurança do balanceador de carga. Para obter mais informações, consulte Logs de fluxo da VPC no Guia do usuário da Amazon VPC.
