本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Network Load Balancer 的安全群組
您可以關聯安全群組與 Network Load Balancer,來控制允許到達與離開負載平衡器的流量。您可以指定允許輸入流量的連接埠、通訊協定與來源,以及允許輸出流量的連接埠、通訊協定與目標。如果您未將安全群組指派給負載平衡器,則所有用戶端流量都可以到達負載平衡器接聽程式,而所有流量都可以離開負載平衡器。
您可以新增規則至與目標關聯的安全群組,該規則參照與 Network Load Balancer 關聯的安全群組。這允許用戶端透過負載平衡器向您的目標發送流量,但防止其直接向您的目標發送流量。在與目標關聯的安全群組引參照與 Network Load Balancer 關聯的安全群組,可確保您的目標接受來自負載平衡器的流量,即使您為負載平衡器啟用用戶端 IP 保留也是如此。
您無需為輸入安全群組規則所阻擋的流量支付費用。
考量事項
-
在建立網路負載平衡器時,您可以關聯安全群組與 Network Load Balancer。如果您建立 Network Load Balancer 而不關聯任何安全群組,您之後就不能將其關聯負載平衡器。我們建議您在建立安全群組時,將其關聯負載平衡器。
-
在建立具有關聯安全群組的 Network Load Balancer 之後,您可以隨時變更與負載平衡器關聯的安全群組。
-
運作狀態檢查受輸出規則約束,但不受輸入規則約束。您必須確保輸出規則不會阻擋運作狀態檢查流量。否則,負載平衡器會認為目標不健康。
-
您可以控制 PrivateLink 流量是否受到輸入規則的約束。如果您對流量啟用輸入規則, PrivateLink 流量的來源是用戶端的私人 IP 位址,而不是端點介面。
例如:篩選用戶端流量
關聯 Network Load Balancer 安全群組的下列輸入規則僅允許來自指定位址範圍的流量。如果是內部負載平衡器,您可以指定 VPC CIDR 範圍作為來源,以便僅允許來自特定 VPC 的流量。如果是面向網際網路的負載平衡器,必須接受來自網際網路任何地方的流量,您可以指定 0.0.0.0/0 作為來源。
傳入 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
通訊協定 | 來源 | 連接埠範圍 | 註解 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
protocol |
用戶端 IP 地址範圍 |
接聽程式連接埠 |
允許來自接聽程式埠的 CIDR 來源輸入流量 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ICMP | 0.0.0.0/0 | 全部 | 允許輸入 ICMP 流量支援 MTU 或路徑 MTU 探索 † |
† 如需詳細資訊,請參閱 Amazon EC2 使用者指南中的路徑 MTU 探索。
傳出 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
通訊協定 | 目的地 | 連接埠範圍 | 註解 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
全部 | Anywhere | 全部 | 允許所有對外流量 |
範例:僅接受來自負載平衡器的流量
假設您的 Network Load Balancer 具有安全群組 sg-111112222233333。請在與目標執行個體關聯的安全群組使用下列規則,來確保其僅接受來自 Network Load Balancer 的流量。您必須確保目標在目標連接埠與運作狀態檢查連接埠都接受來自負載平衡器的流量。如需詳細資訊,請參閱 目標安全群組。
傳入 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
通訊協定 | 來源 | 連接埠範圍 | 註解 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
protocol |
sg-111112222233333 | 目標連接埠 |
允許來自目標連接埠負載平衡器的輸入流量 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
protocol |
sg-111112222233333 | 運作狀態檢查 |
允許來自運作狀態檢查連接埠負載平衡器的輸入流量 |
傳出 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
通訊協定 | 目的地 | 連接埠範圍 | 註解 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
全部 | Anywhere | 任何 | 允許所有對外流量 |
更新關聯的安全群組
如果您在建立負載平衡器時將至少一個安全群組與負載平衡器關聯,您可以隨時更新該負載平衡器的安全群組。
使用主控台更新安全群組
前往 https://console.aws.amazon.com/ec2/
開啟 Amazon EC2 主控台。 -
在導覽窗格的 Load Balancing (負載平衡) 下方,選擇 Load Balancers (負載平衡器)。
-
選取負載平衡器。
-
在安全性索引標籤中,選擇編輯。
-
若要將安全群組與負載平衡器建立關聯,請選取安全群組。若要從負載平衡器中移除安全群組,請清除安全群組。
-
選擇儲存變更。
若要使用更新安全群組 AWS CLI
使用 set-security-groups 命令。
更新安全設定
根據預設,我們會將輸入安全群組規則套用至傳送到負載平衡器的所有流量。但是,您可能不想將這些規則套用至傳送至負載平衡器的流量 AWS PrivateLink,而流量可能來自重疊的 IP 位址。在此情況下,您可以設定負載平衡器,這樣我們就不會針對透過傳送至負載平衡器的流量套用輸入規則 AWS PrivateLink。
若要使用主控台更新安全設定
前往 https://console.aws.amazon.com/ec2/
開啟 Amazon EC2 主控台。 -
在導覽窗格的 Load Balancing (負載平衡) 下方,選擇 Load Balancers (負載平衡器)。
-
選取負載平衡器。
-
在安全性索引標籤中,選擇編輯。
-
在 [安全性] 設定下,清除 [對 PrivateLink 流量強制執行輸入規
-
選擇儲存變更。
若要使用更新安全性設定 AWS CLI
使用 set-security-groups 命令。
監視負載平衡器安全群組
使用SecurityGroupBlockedFlowCount_Inbound
和SecurityGroupBlockedFlowCount_Outbound
CloudWatch 指標來監視負載平衡器安全群組封鎖的流程計數。被封鎖的流量不會反映在其他指標。如需詳細資訊,請參閱 CloudWatch Network Load Balancer 的指標。
使用 VPC 流量日誌來監視負載平衡器安全群組接受或拒絕的流量。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的 VPC 流程日誌。