Mengelola grup keamanan EC2 - AWS Elastic Beanstalk
Memuat lingkungan seimbang (multi-instance)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola grup keamanan EC2

Ketika Elastic Beanstalk menciptakan lingkungan, ia menetapkan grup keamanan default ke instans EC2 yang diluncurkan bersamanya. Grup keamanan yang dilampirkan ke instans Anda menentukan lalu lintas mana yang diizinkan untuk mencapai dan keluar dari instans.

Grup keamanan EC2 default yang dibuat Elastic Beanstalk memungkinkan semua lalu lintas masuk dari internet atau penyeimbang beban pada port standar untuk HTTP (80) dan SSH (22). Anda juga dapat menentukan grup keamanan kustom Anda sendiri untuk menetapkan aturan firewall untuk instans EC2. Kelompok keamanan dapat mengizinkan lalu lintas di port lain atau dari sumber lain. Misalnya, Anda dapat membuat grup keamanan untuk akses SSH yang memungkinkan lalu lintas masuk pada port 22 dari rentang alamat IP terbatas. Atau untuk keamanan tambahan, Anda dapat membuat satu yang memungkinkan lalu lintas dari host benteng yang hanya dapat Anda akses.

Anda dapat memilih untuk memilih keluar lingkungan Anda dari grup keamanan EC2 default dengan menyetel DisableDefaultEC2SecurityGroup opsi di aws:autoscaling:launchconfiguration namespace ke. true Gunakan file konfigurasi AWS CLIatau untuk menerapkan opsi ini ke lingkungan Anda dan untuk melampirkan grup keamanan khusus ke instans EC2.

Mengelola grup keamanan EC2 di lingkungan multi-instans

Jika Anda membuat grup keamanan EC2 kustom di lingkungan multi-instans, Anda juga harus mempertimbangkan bagaimana penyeimbang beban dan peraturan lalu lintas yang masuk menjaga instans Anda tetap aman dan dapat diakses.

Lalu lintas masuk ke lingkungan dengan beberapa instans EC2 dikelola oleh penyeimbang beban, yang mengarahkan lalu lintas masuk di antara semua instans EC2. Ketika Elastic Beanstalk membuat grup keamanan EC2 default, itu juga mendefinisikan aturan masuk yang memungkinkan lalu lintas masuk dari penyeimbang beban. Tanpa aturan masuk ini di grup keamanan, lalu lintas yang masuk tidak akan diizinkan memasuki instans. Kondisi ini pada dasarnya akan memblokir instance dari permintaan eksternal.

Jika Anda menonaktifkan grup keamanan EC2 default untuk lingkungan yang seimbang beban, Elastic Beanstalk memvalidasi beberapa aturan konfigurasi. Jika konfigurasi tidak memenuhi pemeriksaan validasi, konfigurasi akan mengeluarkan pesan yang menginstruksikan Anda untuk menyediakan konfigurasi yang diperlukan. Pemeriksaan validasi adalah sebagai berikut:

  • Setidaknya satu grup keamanan harus ditugaskan ke penyeimbang beban menggunakan SecurityGroups opsi aws:elbv2:loadbalancer atauaws:elb:loadbalancer, tergantung pada apakah itu penyeimbang beban aplikasi atau penyeimbang beban klasik, masing-masing. Sebagai AWS CLI contoh lihatMengkonfigurasi dengan AWS CLI.

  • Aturan lalu lintas masuk harus ada yang memungkinkan instans EC2 Anda menerima lalu lintas dari penyeimbang beban. Baik grup keamanan EC2 dan grup keamanan penyeimbang beban Anda harus mereferensikan aturan masuk ini. Untuk informasi lebih lanjut, lihat Aturan masuk untuk lalu lintas bagian berikut.

Aturan masuk untuk lalu lintas

Grup keamanan EC2 untuk lingkungan multi-instance, harus menyertakan aturan masuk yang mereferensikan grup keamanan penyeimbang beban. Ini berlaku untuk lingkungan dengan semua jenis penyeimbang beban, khusus atau bersama, dan dengan grup keamanan penyeimbang beban khusus atau default.

Anda dapat melihat semua grup keamanan yang dilampirkan ke komponen lingkungan Anda di konsol EC2. Gambar berikut menunjukkan daftar grup keamanan konsol EC2 yang dibuat Elastic Beanstalk secara default selama operasi create environment.

Layar Grup Keamanan menampilkan lingkungan dan grup keamanan terkait. Baik GettingStarted-env dan GettingStarted3-env adalah lingkungan multi-instance dengan penyeimbang beban khusus. Masing-masing lingkungan ini memiliki dua grup keamanan yang terdaftar, satu untuk instans EC2 dan satu lagi untuk penyeimbang beban. Elastic Beanstalk menciptakan grup keamanan ini saat menciptakan lingkungan. GettingStarted5-env tidak memiliki grup keamanan penyeimbang beban, karena hanya memiliki satu instans EC2, dan karenanya tidak ada penyeimbang beban.

Layar aturan Inbound ditelusuri ke grup keamanan EC2 untuk instance 3-env. GettingStarted Contoh ini mendefinisikan aturan masuk untuk grup keamanan EC2. Perhatikan bahwa kolom Sumber dalam Aturan masuk mencantumkan id grup keamanan grup keamanan penyeimbang beban yang tercantum dalam gambar sebelumnya. Aturan ini memungkinkan instans EC2 GettingStarted3-env menerima lalu lintas masuk dari penyeimbang beban tertentu pada port 80.

Konsol Amazon EC2 menampilkan grup keamanan Elastic Beanstalk untuk setiap lingkungan.

Untuk informasi selengkapnya, lihat Mengubah grup keamanan untuk instans dan aturan Elastic Load Balancing di Panduan Pengguna Amazon EC2.