Gruppi di sicurezza per l'Application Load Balancer - Sistema di bilanciamento del carico elastico
Regole consigliateAggiornare i gruppi di sicurezza associati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gruppi di sicurezza per l'Application Load Balancer

Il gruppo di sicurezza dell'Application Load Balancer controlla il traffico a cui viene consentito di raggiungere e lasciare il sistema di bilanciamento del carico. Devi accertarti che il sistema di bilanciamento del carico sia in grado di comunicare con i target registrati sia attraverso la porta del listener sia attraverso la porta di controllo dello stato. Quando aggiungi un listener al tuo sistema di bilanciamento del carico o aggiorni la porta di controllo dello stato per un gruppo target di cui il sistema di bilanciamento del carico si serve per instradare le richieste, devi verificare che i gruppi di sicurezza associati al sistema di bilanciamento del carico permettano il traffico bidirezionale attraverso la nuova porta. Se così non è, è possibile modificare le regole per i gruppi di sicurezza attualmente associati o associare al sistema di bilanciamento del carico dei gruppi di sicurezza diversi. È possibile scegliere le porte e i protocolli da consentire. Ad esempio, puoi aprire connessioni ICMP (Internet Control Message Protocol) per il load balancer per rispondere a richieste di ping (tuttavia, le richieste di ping non vengono inoltrate a tutte le istanze).

Considerazioni

  • Per garantire che i target ricevano traffico esclusivamente dal sistema di bilanciamento del carico, limita i gruppi di sicurezza associati ai target in modo che accettino il traffico esclusivamente dal sistema di bilanciamento del carico. Ciò può essere ottenuto impostando il gruppo di sicurezza del load balancer come origine nella regola di ingresso del gruppo di sicurezza della destinazione.

  • Se l'Application Load Balancer è il bersaglio di un Network Load Balancer, i gruppi di sicurezza dell'Application Load Balancer utilizzano il tracciamento delle connessioni per tenere traccia delle informazioni sul traffico proveniente dal Network Load Balancer. Questo si verifica a prescindere dalle regole del gruppo di sicurezza impostate per l'Application Load Balancer. Per ulteriori informazioni, consulta Tracciamento delle connessioni dei gruppi di sicurezza nella Amazon EC2 User Guide.

  • Ti consigliamo di consentire al traffico ICMP in entrata di supportare Path MTU Discovery. Per ulteriori informazioni, consulta Path MTU Discovery nella Amazon EC2 User Guide.

Le seguenti regole sono consigliate per un sistema di bilanciamento del carico connesso a Internet con istanze come obiettivi.

Inbound
Source Port Range Comment

0.0.0.0/0

listener

Consente tutto il traffico in entrata sulla porta del listener del load balancer

Outbound

Destination Port Range Comment

instance security group

instance listener

Consente il traffico in uscita verso le istanze sulla porta del listener dell'istanza

instance security group

health check

Permette il traffico in uscita verso le istanze attraverso la porta di controllo dello stato

Le seguenti regole sono consigliate per un sistema di bilanciamento del carico interno con istanze come destinazioni.

Inbound
Source Port Range Comment

VPC CIDR

listener

Consente il traffico in entrata dal CIDR VPC sulla porta del listener del load balancer.

Outbound

Destination Port Range Comment

instance security group

instance listener

Consente il traffico in uscita verso le istanze sulla porta del listener dell'istanza

instance security group

health check

Permette il traffico in uscita verso le istanze attraverso la porta di controllo dello stato

Le seguenti regole sono consigliate per un Application Load Balancer con istanze come destinazioni che a sua volta è una destinazione di un Network Load Balancer.

Inbound
Source Port Range Comment

client IP addresses/CIDR

alb listener

Permette il traffico client in entrata sulla porta dell'ascoltatore del sistema di bilanciamento del carico

VPC CIDR

alb listener

Consenti il traffico client in entrata tramite la porta listener del AWS PrivateLink load balancer

VPC CIDR

alb listener

Autorizza il traffico integro in entrata dal Network Load Balancer

Outbound

Destination Port Range Comment

instance security group

instance listener

Consente il traffico in uscita verso le istanze sulla porta del listener dell'istanza

instance security group

health check

Permette il traffico in uscita verso le istanze attraverso la porta di controllo dello stato

Aggiornare i gruppi di sicurezza associati

Puoi aggiornare i gruppi di sicurezza associati al tuo sistema di bilanciamento del carico in qualsiasi momento.

Console
Per aggiornare i gruppi di sicurezza

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Seleziona Sistemi di bilanciamento del carico nel riquadro di navigazione.

  3. Selezionare il load balancer.

  4. Nella scheda Sicurezza, scegli Modifica.

  5. Per associare un gruppo di sicurezza al sistema di bilanciamento del carico, selezionalo. Per rimuovere l'associazione a un gruppo di sicurezza, scegli l'icona X relativa a tale gruppo di sicurezza.

  6. Scegli Save changes (Salva modifiche).

AWS CLI
Per aggiornare i gruppi di sicurezza

Utilizza il comando set-security-groups.

aws elbv2 set-security-groups \
    --load-balancer-arn load-balancer-arn \
    --security-groups sg-01dd3383691d02f42 sg-00f4e409629f1a42d
CloudFormation
Per aggiornare i gruppi di sicurezza

Aggiorna la AWS::ElasticLoadBalancingV2::LoadBalancerrisorsa.

Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-alb
      Type: application
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
        - !Ref myNewSecurityGroup