Classic Load Balancer를 위한 보안 그룹 구성

AWS Management 콘솔을 사용해 로드 밸런서를 생성할 때는 기존 보안 그룹을 선택하거나 새로운 보안 그룹을 생성할 수 있습니다. 기존 보안 그룹을 선택하는 경우에는 반드시 로드 밸런서를 위한 리스너 포트 및 상태 확인 포트로의 양방향 트래픽을 허용해야 합니다. 보안 그룹을 생성하기로 한 경우에는 콘솔이 이들 포트에서 모든 트래픽을 허용하는 규칙을 자동으로 추가합니다.

[기본이 아닌 VPC] AWS CLI 또는 API를 사용하여 기본이 아닌 VPC에서 로드 밸런서를 생성하되 보안 그룹을 지정하지 않은 경우에는 로드 밸런서가 VPC를 위한 기본 보안 그룹에 자동으로 연결됩니다.

[기본 VPC] AWS CLI 또는 API를 사용하여 기본 VPC에서 로드 밸런서를 생성하는 경우에는 로드 밸런서를 위한 기존 보안 그룹을 선택할 수 없습니다. 대신에 Elastic Load Balancing이 로드 밸런서를 위해 지정된 포트에서 모든 트래픽을 허용하는 규칙을 보안 그룹에 제공합니다. Elastic Load Balancing은 AWS 계정별로 이름이 default_elb_id 형식인 보안 그룹(예: default_elb_fc5fbed3-0405-3b7d-a328-ea290EXAMPLE)을 오직 한 개만 생성합니다. 이후에 기본 VPC에서 생성되는 로드 밸런서는 이 보안 그룹도 사용합니다. 새로운 로드 밸런서의 리스너 포트와 상태 확인 포트에서 트래픽을 허용하는지 보안 그룹 규칙을 확인해야 합니다. 로드 밸런서를 삭제해도 이 보안 그룹은 자동 삭제되지 않습니다.

기존 로드 밸런서에 리스너를 추가하는 경우에는 보안 그룹이 새로운 리스너 포트에서 양방향 트래픽을 허용하는지 확인해야 합니다.

로드 밸런서 보안 그룹을 위한 권장 규칙

로드 밸런서를 위한 보안 그룹은 인스턴스와의 통신을 허용해야 합니다. 권장 규칙은 로드 밸런서의 유형(인터넷 경계 또는 내부)에 따라 다릅니다.

인터넷 경계 로드 밸런서

다음 표에는 인터넷 경계 로드 밸런서를 위한 권장 인바운드 규칙이 나와 있습니다.

다음 표에는 인터넷 경계 로드 밸런서를 위한 권장 아웃바운드 규칙이 나와 있습니다.

내부 로드 밸런서

다음 표에는 내부 로드 밸런서를 위한 권장 인바운드 규칙이 나와 있습니다.

다음 표에는 내부 로드 밸런서를 위한 권장 아웃바운드 규칙이 나와 있습니다.

콘솔을 사용하여 보안 그룹 할당

다음 절차를 사용하여 로드 밸런서에 연결된 보안 그룹을 변경합니다.

AWS CLI를 사용하여 보안 그룹 할당

다음 apply-security-groups-to-load-balancer 명령을 사용하여 보안 그룹과 로드 밸런서를 연결합니다. 지정된 보안 그룹은 이전에 연결된 보안 그룹을 재정의합니다.

aws elb apply-security-groups-to-load-balancer --load-balancer-name my-loadbalancer --security-groups sg-53fae93f

다음은 응답의 예입니다.

{
  "SecurityGroups": [
     "sg-53fae93f"
  ]
}