本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
更新 Network Load Balancer 的安全群組
您可以建立安全群組與 Network Load Balancer 的關聯,以控制允許到達和離開 Network Load Balancer 的流量。您可以指定允許輸入流量的連接埠、通訊協定與來源,以及允許輸出流量的連接埠、通訊協定與目標。如果您未將安全群組指派給 Network Load Balancer,則所有用戶端流量都可以到達 Network Load Balancer 接聽程式,且所有流量都可以離開 Network Load Balancer。
您可以新增規則至與目標關聯的安全群組,該規則參照與 Network Load Balancer 關聯的安全群組。這可讓用戶端透過 Network Load Balancer 將流量傳送到目標,但可防止流量直接傳送到目標。在與目標相關聯的安全群組中參考與 Network Load Balancer 相關聯的安全群組,可確保您的目標接受來自 Network Load Balancer 的流量,即使您為 Network Load Balancer 啟用用戶端 IP 保留。
您無需為輸入安全群組規則所阻擋的流量支付費用。
考量事項
-
在建立網路負載平衡器時,您可以關聯安全群組與 Network Load Balancer。如果您建立 Network Load Balancer 而未與任何安全群組建立關聯,則無法在稍後將它們與 Network Load Balancer 建立關聯。我們建議您在建立安全群組時,將其與 Network Load Balancer 建立關聯。
-
使用相關聯的安全群組建立 Network Load Balancer 之後,您可以隨時變更與 Network Load Balancer 相關聯的安全群組。
-
運作狀態檢查受輸出規則約束,但不受輸入規則約束。您必須確保輸出規則不會阻擋運作狀態檢查流量。否則,Network Load Balancer 會將目標視為運作狀態不佳。
-
您可以控制 PrivateLink 流量是否受傳入規則約束。如果您在 PrivateLink 流量上啟用傳入規則,流量的來源是用戶端的私有 IP 地址,而不是端點介面。
例如:篩選用戶端流量
關聯 Network Load Balancer 安全群組的下列輸入規則僅允許來自指定位址範圍的流量。如果這是內部 Network Load Balancer,您可以指定 VPC CIDR做為來源,以僅允許來自特定 VPC 的流量。如果這是面向網際網路的網路Load Balancer,必須接受來自網際網路任何位置的流量,您可以指定 0.0.0.0/0 作為來源。
| 通訊協定 | 來源 | 連接埠範圍 | 註解 |
|---|---|---|---|
protocol |
client IP address range |
listener port |
允許接聽程式連接埠上來源 CIDR 的傳入流量 |
| ICMP | 0.0.0.0/0 | 全部 | 允許傳入 ICMP 流量支援 MTU 或 Path MTU Discovery † |
† 如需詳細資訊,請參閱 Amazon MTU 使用者指南中的路徑探索。 EC2
| 通訊協定 | 目的地 | 連接埠範圍 | 註解 |
|---|---|---|---|
| 全部 | Anywhere | 全部 | 允許所有對外流量 |
範例:僅接受來自 Network Load Balancer 的流量
假設您的 Network Load Balancer 具有安全群組 sg-111112222233333。請在與目標執行個體關聯的安全群組使用下列規則,來確保其僅接受來自 Network Load Balancer 的流量。您必須確保目標接受來自目標連接埠和運作狀態檢查連接埠上 Network Load Balancer 的流量。如需詳細資訊,請參閱目標安全群組。
| 通訊協定 | 來源 | 連接埠範圍 | 註解 |
|---|---|---|---|
protocol |
sg-111112222233333 | target port |
允許來自目標連接埠上 Network Load Balancer 的傳入流量 |
protocol |
sg-111112222233333 | health check |
允許運作狀態檢查連接埠上來自 Network Load Balancer 的傳入流量 |
| 通訊協定 | 目的地 | 連接埠範圍 | 註解 |
|---|---|---|---|
| 全部 | Anywhere | 任何 | 允許所有對外流量 |
更新關聯的安全群組
如果您在建立 Network Load Balancer 時至少將一個安全群組關聯,您可以隨時更新該 Network Load Balancer 的安全群組。
使用主控台更新安全群組
在 EC2 開啟 Amazon https://console.aws.amazon.com/ec2/
主控台。 -
在導覽窗格的 Load Balancing (負載平衡器),選擇 Load Balancer (負載平衡器)。
-
選取 Network Load Balancer。
-
在安全性索引標籤中,選擇編輯。
-
若要將安全群組與 Network Load Balancer 建立關聯,請選取該群組。若要從 Network Load Balancer 中移除安全群組,請將其清除。
-
選擇 Save changes (儲存變更)。
使用 更新安全群組 AWS CLI
使用 set-security-groups 命令。
更新安全設定
根據預設,我們會將傳入安全群組規則套用至傳送至 Network Load Balancer 的所有流量。不過,您可能不想將這些規則套用至透過 傳送至 Network Load Balancer 的流量 AWS PrivateLink,這可能源自重疊的 IP 地址。在此情況下,您可以設定 Network Load Balancer,這樣我們就不會將傳入規則套用到透過 Network Load Balancer 傳送到 Network Load Balancer 的流量 AWS PrivateLink。
若要使用主控台更新安全設定
在 EC2 開啟 Amazon https://console.aws.amazon.com/ec2/
主控台。 -
在導覽窗格的 Load Balancing (負載平衡器),選擇 Load Balancer (負載平衡器)。
-
選取 Network Load Balancer。
-
在安全性索引標籤中,選擇編輯。
-
在安全性設定下,清除對 PrivateLink 流量強制執行傳入規則。
-
選擇 Save changes (儲存變更)。
使用 更新安全設定 AWS CLI
使用 set-security-groups 命令。
監控 Network Load Balancer 安全群組
使用 SecurityGroupBlockedFlowCount_Inbound和 SecurityGroupBlockedFlowCount_Outbound CloudWatch 指標來監控 Network Load Balancer 安全群組封鎖的流程計數。被封鎖的流量不會反映在其他指標。如需詳細資訊,請參閱Network Load Balancer 的CloudWatch 指標。
使用 VPC 流量日誌來監控 Network Load Balancer 安全群組接受或拒絕的流量。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的 Word 流程日誌。 VPC
