本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为经典负载均衡器配置安全组
使用创建负载均衡器时,您可以选择现有安全组或创建新安全组。 AWS Management Console 如果您选择现有安全组,则它必须允许侦听器端口和运行状况检查端口上针对负载均衡器的双向流量。如果您选择创建安全组,则控制台将自动添加规则以允许这两个端口上的所有流量。
[非默认 VPC] 如果您使用 AWS CLI 或 API 在非默认 VPC 中创建负载均衡器,但未指定安全组,则您的负载均衡器会自动与 VPC 的默认安全组关联。
[默认 VPC] 如果您使用 AWS CLI 或 API 在默认 VPC 中创建负载均衡器,则无法为负载均衡器选择现有安全组。相反,Elastic Load Balancing 将为安全组提供规则,以允许指定端口上针对负载均衡器的所有流量。Elastic Load Balancing 为每个 AWS 账户只创建一个这样的安全组,其名称格式为 default_elb_id(例如)。default_elb_fc5fbed3-0405-3b7d-a328-ea290EXAMPLE您在默认 VPC 中创建的后续负载均衡器也使用此安全组。务必查看安全组规则以确保它们允许侦听器端口和运行状况检查端口上针对新负载均衡器的流量。删除负载均衡器时,不会自动删除此安全组。
如果您向现有负载均衡器添加侦听器,则必须检查安全组以确保它们允许新侦听器端口上的双向流量。
负载均衡器安全组的推荐规则
负载均衡器的安全组必须允许它们与您的实例进行通信。推荐规则取决于负载均衡器的类型(面向 Internet 或内部)。
面向 Internet 的负载均衡器
下表显示了面向 Internet 的负载均衡器的推荐入站规则。
| 来源 | 协议 | 端口范围 | 评论 |
|---|---|---|---|
0.0.0.0/0 |
TCP |
|
在负载均衡器侦听器端口上允许所有入站流量 |
下表显示了面向 Internet 的负载均衡器的推荐出站规则。
| 目标位置 | 协议 | 端口范围 | 注释 |
|---|---|---|---|
|
TCP |
|
在实例侦听器端口上允许流向实例的出站流量 |
|
TCP |
|
在运行状况检查端口上允许流向实例的出站流量 |
内部负载均衡器
下表显示了内部负载均衡器的推荐入站规则。
| 来源 | 协议 | 端口范围 | 注释 |
|---|---|---|---|
|
TCP |
|
在负载均衡器侦听器端口上允许来自 VPC CIDR 的入站流量 |
下表显示了内部负载均衡器的推荐出站规则。
| 目标位置 | 协议 | 端口范围 | 注释 |
|---|---|---|---|
|
TCP |
|
在实例侦听器端口上允许流向实例的出站流量 |
|
TCP |
|
在运行状况检查端口上允许流向实例的出站流量 |
使用控制台分配安全组
使用以下过程可更改与负载均衡器关联的安全组。
使用控制台更新分配给负载均衡器的安全组
打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格上的负载均衡下,选择负载均衡器。
-
选择负载均衡器的名称以打开其详细信息页面。
-
在安全性选项卡上,选择编辑。
-
在编辑安全组页面的安全组下,根据需要添加或移除安全组。
您最多可以添加 5 个安全组。
-
在完成后,选择保存更改。
使用分配安全组 AWS CLI
使用以下 apply-security-groups-to-load-balancer 命令将安全组与负载均衡器相关联。指定的安全组会覆盖之前关联的安全组。
aws elb apply-security-groups-to-load-balancer --load-balancer-namemy-loadbalancer--security-groupssg-53fae93f
以下为响应示例:
{
"SecurityGroups": [
"sg-53fae93f"
]
}