Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Grup keamanan untuk Application Load Balancer Anda
Grup keamanan untuk Application Load Balancer Anda mengontrol lalu lintas yang diizinkan untuk mencapai dan meninggalkan penyeimbang beban. Anda harus memastikan bahwa penyeimbang beban dapat berkomunikasi dengan target terdaftar pada port listener dan port pemeriksaan kondisi. Setiap kali menambahkan listener ke penyeimbang beban atau memperbarui port pemeriksaan kondisi untuk grup target yang digunakan oleh penyeimbang beban untuk merutekan permintaan, Anda harus memverifikasi bahwa grup keamanan yang terkait dengan penyeimbang beban mengizinkan lalu lintas pada port baru di kedua arah. Jika tidak, Anda dapat mengedit aturan untuk grup keamanan yang saat ini terkait atau mengaitkan grup keamanan yang berbeda dengan penyeimbang beban. Anda dapat memilih port dan protokol untuk memungkinkan. Misalnya, Anda dapat membuka koneksi Internet Control Message Protocol (ICMP) untuk penyeimbang beban untuk merespons permintaan ping (namun, permintaan ping tidak diteruskan ke instans apa pun).
Pertimbangan
-
Untuk memastikan target Anda menerima lalu lintas secara eksklusif dari penyeimbang beban, batasi kelompok keamanan yang terkait dengan target Anda untuk menerima lalu lintas semata-mata dari penyeimbang beban. Hal ini dapat dicapai dengan menetapkan kelompok keamanan load balancer sebagai sumber dalam aturan ingress dari kelompok keamanan target.
-
Jika Application Load Balancer Anda adalah target Network Load Balancer, grup keamanan untuk Application Load Balancer Anda menggunakan pelacakan koneksi untuk melacak informasi tentang lalu lintas yang berasal dari Network Load Balancer. Ini terjadi terlepas dari aturan grup keamanan yang ditetapkan untuk Application Load Balancer Anda. Untuk informasi selengkapnya, lihat Pelacakan koneksi grup keamanan di Panduan EC2 Pengguna Amazon.
-
Kami menyarankan Anda mengizinkan lalu lintas ICMP masuk untuk mendukung Path MTU Discovery. Untuk informasi selengkapnya, lihat Path MTU Discovery di Panduan EC2 Pengguna Amazon.
Aturan yang disarankan
Aturan berikut direkomendasikan untuk penyeimbang beban yang menghadap ke internet dengan instance sebagai target.
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
0.0.0.0/0 |
|
Izinkan semua lalu lintas masuk pada port listener penyeimbang beban |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
Izinkan lalu lintas keluar ke instans pada port listener instans |
|
|
|
Izinkan lalu lintas keluar ke instans pada port pemeriksaan kondisi |
Aturan berikut direkomendasikan untuk penyeimbang beban internal dengan instance sebagai target.
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
|
|
Izinkan lalu lintas masuk dari VPC CIDR pada port listener penyeimbang beban |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
Izinkan lalu lintas keluar ke instans pada port listener instans |
|
|
|
Izinkan lalu lintas keluar ke instans pada port pemeriksaan kondisi |
Aturan berikut direkomendasikan untuk Application Load Balancer dengan instance sebagai target yang merupakan target Network Load Balancer.
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
|
|
Izinkan lalu lintas klien masuk pada port pendengar penyeimbang beban |
|
|
|
Izinkan lalu lintas klien masuk melalui AWS PrivateLink port pendengar penyeimbang beban |
|
|
|
Izinkan lalu lintas kesehatan masuk dari Network Load Balancer |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
Izinkan lalu lintas keluar ke instans pada port listener instans |
|
|
|
Izinkan lalu lintas keluar ke instans pada port pemeriksaan kondisi |
Memperbarui grup keamanan terkait
Anda dapat memperbarui grup keamanan yang terkait dengan penyeimbang beban kapan saja.
