Configuración de grupos de seguridad para el balanceador de carga clásico

Si utiliza Consola de administración de AWS para crear un equilibrador de carga, puede utilizar un grupo de seguridad existente o crear otro nuevo. Si elige un grupo de seguridad existente, el tráfico debe estar permitido en las dos direcciones en el puerto de oyente y el puerto de comprobación de estado del equilibrador de carga. Si decide crear un grupo de seguridad, la consola agregará automáticamente reglas que permitan todo el tráfico en estos puertos.

[VPC no predeterminada] Si utiliza AWS CLI o una API para crear un equilibrador de carga en una VPC no predeterminada pero no quiere especificar un grupo de seguridad, el equilibrador de carga se asociará automáticamente con el grupo de seguridad predeterminado de la VPC.

[VPC predeterminada] Si utiliza AWS CLI o una API para crear un equilibrador de carga en la VPC predeterminada, no podrá elegir un grupo de seguridad existente para el equilibrador de carga. En su lugar, Elastic Load Balancing proporcionará un grupo de seguridad con reglas que permitirán todo el tráfico en los puertos especificados del equilibrador de carga. Elastic Load Balancing crea un solo grupo de seguridad por cada cuenta de AWS, cuyo nombre tendrá el formato default_elb_id (por ejemplo, default_elb_fc5fbed3-0405-3b7d-a328-ea290EXAMPLE). Los equilibradores de carga que cree posteriormente en la VPC predeterminada también usarán este grupo de seguridad. No olvide revisar las reglas del grupo de seguridad para asegurarse de que permiten el tráfico en el puerto de oyente y el puerto de comprobación de estado del nuevo equilibrador de carga. Cuando elimine el equilibrador de carga, el grupo de seguridad no se eliminará automáticamente.

Si agrega un oyente a un equilibrador de carga existente, deberá revisar los grupos de seguridad para asegurarse de que el tráfico está permitido en el puerto del nuevo oyente en las dos direcciones.

Contenido

Reglas recomendadas para los grupos de seguridad del equilibrador de carga
Asignación de grupos de seguridad a través de la consola
Asignar grupos de seguridad mediante la AWS CLI

Reglas recomendadas para los grupos de seguridad del equilibrador de carga

Los grupos de seguridad de los equilibradores de carga deben permitir que estos se comuniquen con las instancias. Las reglas recomendadas dependen del tipo de equilibrador de carga expuesto a Internet o interno.

Equilibrador de carga expuesto a Internet

En la tabla siguiente, se muestran las reglas recomendadas entrantes para un equilibrador de carga expuesto a Internet.

Origen	Protocolo	Rango de puertos	Comentario
0.0.0.0/0	TCP	`oyente`	Permitir todo el tráfico entrante en el puerto del oyente del equilibrador de carga

En la tabla siguiente, se muestran las reglas recomendadas salientes para un equilibrador de carga expuesto a Internet.

Destino	Protocolo	Rango de puertos	Comentario
`grupo de seguridad de instancia`	TCP	`oyente de instancia`	Permitir el tráfico saliente a las instancias en el puerto del oyente de la instancia
`grupo de seguridad de instancia`	TCP	`comprobación de estado`	Permitir el tráfico saliente a las instancias en el puerto de comprobación de estado

Equilibradores de carga internos

En la tabla siguiente, se muestran las reglas recomendadas entrante para un equilibrador de carga interno.

Origen	Protocolo	Rango de puertos	Comentario
`CIDR de VPC`	TCP	`oyente`	Permitir el tráfico entrante del CIDR de VPC en el puerto del oyente del equilibrador de carga

En la tabla siguiente, se muestran las reglas recomendadas saliente para un equilibrador de carga interno.

Destino	Protocolo	Rango de puertos	Comentario
`grupo de seguridad de instancia`	TCP	`oyente de instancia`	Permitir el tráfico saliente a las instancias en el puerto del oyente de la instancia
`grupo de seguridad de instancia`	TCP	`comprobación de estado`	Permitir el tráfico saliente a las instancias en el puerto de comprobación de estado

Asignación de grupos de seguridad a través de la consola

Utilice el siguiente procedimiento para cambiar los grupos de seguridad asociados al equilibrador de carga.

Para actualizar un grupo de seguridad asignado al equilibrador de carga mediante la consola

Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
En el panel de navegación, en Equilibrio de carga, elija Equilibradores de carga.
Seleccione el nombre del equilibrador de carga para abrir su página de detalles.
En la pestaña Seguridad, seleccione Editar.
En la página Editar grupos de seguridad, en Grupos de seguridad, agregue o elimine grupos de seguridad según sea necesario.

Puede agregar hasta cinco grupos de seguridad.
Cuando haya finalizado, elija Guardar cambios.

Asignar grupos de seguridad mediante la AWS CLI

Utilice el siguiente comando apply-security-groups-to-load-balancer para asociar un grupo de seguridad a un equilibrador de carga. Los grupos de seguridad especificados sobrescribe los grupos de seguridad asociados anteriormente.


aws elb apply-security-groups-to-load-balancer --load-balancer-name my-loadbalancer --security-groups sg-53fae93f

A continuación, se muestra un ejemplo de respuesta:


{
  "SecurityGroups": [
     "sg-53fae93f"
  ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Subredes y zonas

ACL de red