本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定您的 Classic Load Balancer 的安全群組
當您使用 AWS Management Console 建立負載平衡器時,您可以選擇現有的安全群組或建立新的安全群組。如果您選擇現有的安全群組,則必須允許雙向流量至接聽程式和負載平衡器的運作狀態檢查連接埠。如果您選擇建立安全群組,主控台會自動新增規則以允許這些連接埠的所有流量。
【非預設 VPC】 如果您使用 AWS CLI 或 API 在非預設 VPC 中建立負載平衡器,但您未指定安全群組,您的負載平衡器會自動與 VPC 的預設安全群組建立關聯。
【預設 VPC】 如果您使用 AWS CLI 或 API 在預設 VPC 中建立負載平衡器,則無法為負載平衡器選擇現有的安全群組。反之,Elastic Load Balancing 會提供具有規則的安全群組,以允許負載平衡器的指定連接埠上所有流量。Elastic Load Balancing 每個 AWS 帳戶只會建立一個這類安全群組,其名稱格式為 default_elb_id (例如 default_elb_fc5fbed3-0405-3b7d-a328-ea290EXAMPLE)。後續的預設 VPC 中建立負載平衡器,也使用此安全群組。請務必檢閱安全群組規則,以確保它們允許流量在適用於新的負載平衡器的接聽程式和運作狀態檢查連接埠。當您刪除負載平衡器時,此安全群組不會自動刪除。
如果您新增接聽程式到現有的負載平衡器,您必須檢閱您的安全群組,以確保它們允許流量在新的雙向接聽連接埠。
負載平衡器安全群組的建議規則
您的負載平衡器的安全群組必須允許它們與您的執行個體進行通訊。建議的規則取決於負載平衡器的類型、面向網際網路或內部。
面向網際網路的負載平衡器
下表顯示面向網際網路的負載平衡器的建議傳入規則。
| 來源 | 通訊協定 | 連接埠範圍 | 註解 |
|---|---|---|---|
0.0.0.0/0 |
TCP |
|
在負載平衡器接聽程式連接埠上允許所有傳入流量 |
下表顯示面向網際網路的負載平衡器的建議傳出規則。
| 目的地 | 通訊協定 | 連接埠範圍 | 註解 |
|---|---|---|---|
|
TCP |
|
在執行個體接聽程式連接埠上允許流向執行個體的傳出流量 |
|
TCP |
|
在運作狀態檢查連接埠上允許流向執行個體的傳出流量 |
內部負載平衡器
下表顯示內部負載平衡器的建議傳入規則。
| 來源 | 通訊協定 | 連接埠範圍 | 註解 |
|---|---|---|---|
|
TCP |
|
在負載平衡器接聽程式連接埠上允許來自 VPC CIDR 的傳入流量 |
下表顯示內部負載平衡器的建議傳出規則。
| 目的地 | 通訊協定 | 連接埠範圍 | 註解 |
|---|---|---|---|
|
TCP |
|
在執行個體接聽程式連接埠上允許流向執行個體的傳出流量 |
|
TCP |
|
在運作狀態檢查連接埠上允許流向執行個體的傳出流量 |
使用主控台指派安全群組
使用下列程序來變更與您的負載平衡器相關聯的安全群組。
使用主控台更新指派給負載平衡器的安全群組
在 https://console.aws.amazon.com/ec2/
開啟 Amazon EC2 主控台。 -
在導覽窗格的 Load Balancing (負載平衡器),選擇 Load Balancer (負載平衡器)。
-
選擇負載平衡器的名稱來開啟其詳細資訊頁面。
-
在安全性索引標籤中,選擇編輯。
-
在編輯安全群組頁面的安全群組下,視需要新增或移除安全群組。
您最多可以新增五個安全群組。
-
完成時,請選擇 Save changes (儲存變更)。
使用 指派安全群組 AWS CLI
使用下列 apply-security-groups-to-load-balancer 命令,將安全群組與負載平衡器建立關聯。指定的安全群組會覆寫先前關聯的安全群組。
aws elb apply-security-groups-to-load-balancer --load-balancer-namemy-loadbalancer--security-groupssg-53fae93f
以下是回應範例:
{
"SecurityGroups": [
"sg-53fae93f"
]
}