Konfigurieren von Sicherheitsgruppen für Ihren Classic Load Balancer - Elastic Load Balancing
Empfohlene Regeln für Load-Balancer-SicherheitsgruppenWeisen Sie Sicherheitsgruppen mithilfe der Konsole zuWeisen Sie Sicherheitsgruppen zu, indem Sie AWS CLI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von Sicherheitsgruppen für Ihren Classic Load Balancer

Wenn Sie den verwenden AWS-Managementkonsole , um einen Load Balancer zu erstellen, können Sie eine vorhandene Sicherheitsgruppe auswählen oder eine neue erstellen. Wenn Sie eine vorhandene Sicherheitsgruppe auswählen, muss sie für den Load Balancer in beide Richtungen zum Listener-Port und zum Zustandsprüfung-Port Datenverkehr zulassen. Wenn Sie eine Sicherheitsgruppe erstellen möchten, fügt die Konsole automatisch Regeln hinzu, um den gesamten Datenverkehr auf diesen Ports zuzulassen.

[Nicht standardmäßige VPC] Wenn Sie die AWS CLI oder -API verwenden, einen Load Balancer in einer nicht standardmäßigen VPC erstellen, aber keine Sicherheitsgruppe angeben, wird Ihr Load Balancer automatisch der Standardsicherheitsgruppe für die VPC zugeordnet.

[Standard-VPC] Wenn Sie die API AWS CLI oder verwenden, um einen Load Balancer in Ihrer Standard-VPC zu erstellen, können Sie keine bestehende Sicherheitsgruppe für Ihren Load Balancer auswählen. Stattdessen bietet Elastic Load Balancing eine Sicherheitsgruppe mit Regeln, um an den für den Load Balancer angegebenen Ports den gesamte Datenverkehr zuzulassen. Elastic Load Balancing erstellt nur eine solche Sicherheitsgruppe pro AWS Konto mit einem Namen in der Form default_elb_ id (z. B.). default_elb_fc5fbed3-0405-3b7d-a328-ea290EXAMPLE Nachfolgende Load Balancer, die Sie in der Standard-VPC erstellen, verwenden auch diese Sicherheitsgruppe. Lesen Sie die Sicherheitsgruppenregeln, um sicherzustellen, dass sie für den neuen Load Balancer Datenverkehr auf dem Listener-Port und dem Zustandsprüfungs-Ports zulassen. Wenn Sie Ihren Load Balancer löschen, wird diese Sicherheitsgruppe nicht automatisch gelöscht.

Wenn Sie einen Listener zu einem bestehenden Load Balancer hinzufügen, müssen Sie Ihre Sicherheitsgruppen überprüfen, um sicherzustellen, dass sie am neuen Listener-Port Datenverkehr in beide Richtungen zulassen.

Die Sicherheitsgruppen für Ihre Load Balancer müssen ihnen erlauben, mit Ihren Instances zu kommunizieren. Die empfohlenen Regeln hängen vom Typ des Load Balancers ab, ob mit dem Internet verbunden oder intern.

Mit dem Internet verbundener Load Balancer

Die folgende Tabelle zeigt die empfohlenen Regeln für eingehenden Datenverkehr für einen mit dem Internet verbundenen Load Balancer.

Quelle Protocol (Protokoll) Port-Bereich Kommentar

0.0.0.0/0

TCP

listener

Allen eingehenden Datenverkehr auf dem Load Balancer Listener-Port erlauben

Die folgende Tabelle zeigt die empfohlenen Regeln für ausgehenden Datenverkehr für einen mit dem Internet verbundenen Load Balancer.

Bestimmungsort Protocol (Protokoll) Port-Bereich Kommentar

instance security group

TCP

instance listener

Ausgehenden Datenverkehr an Instances auf dem Instance-Listener-Port erlauben

instance security group

TCP

health check

Ausgehenden Datenverkehr an Instances auf dem Zustandsprüfungsport erlauben
Interne Load Balancer

Die folgende Tabelle zeigt die empfohlenen Regeln für eingehenden Datenverkehr für einen internen Load Balancer.

Quelle Protocol (Protokoll) Port-Bereich Kommentar

VPC CIDR

TCP

listener

Eingehenden Datenverkehr aus dem VPC CIDR auf dem Load Balancer-Listener-Port erlauben

Die folgende Tabelle zeigt die empfohlenen Regeln für ausgehenden Datenverkehr für einen internen Load Balancer.

Bestimmungsort Protocol (Protokoll) Port-Bereich Kommentar

instance security group

TCP

instance listener

Ausgehenden Datenverkehr an Instances auf dem Instance-Listener-Port erlauben

instance security group

TCP

health check

Ausgehenden Datenverkehr an Instances auf dem Zustandsprüfungsport erlauben

Weisen Sie Sicherheitsgruppen mithilfe der Konsole zu

Gehen Sie wie folgt vor, um die mit Ihrem Load Balancer verknüpften Sicherheitsgruppen zu ändern.

So aktualisieren Sie eine Ihrem Load Balancer zugewiesene Sicherheitsgruppe mithilfe der Konsole

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich unter LOAD BALANCING die Option Load Balancers aus.

  3. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.

  4. Wählen Sie auf der Registerkarte Security (Sicherheit) die Option Edit (Bearbeiten) aus.

  5. Fügen Sie auf der Seite Sicherheitsgruppen bearbeiten unter Sicherheitsgruppen nach Bedarf Sicherheitsgruppen hinzu oder entfernen Sie sie.

    Sie können bis zu 5 Sicherheitsgruppen hinzufügen.

  6. Klicken Sie auf Save changes (Änderungen speichern), wenn Sie fertig sind.

Weisen Sie Sicherheitsgruppen zu, indem Sie AWS CLI

Verwenden Sie den folgenden Befehl apply-security-groups-to-load-balancer, um eine Sicherheitsgruppe einem Load Balancer zuzuordnen. Die angegebenen Sicherheitsgruppen setzen die vorher zugewiesenen Sicherheitsgruppen außer Kraft.

aws elb apply-security-groups-to-load-balancer --load-balancer-name my-loadbalancer --security-groups sg-53fae93f

Nachfolgend finden Sie eine Beispielantwort:

{
  "SecurityGroups": [
     "sg-53fae93f"
  ]
}