Atualizar os grupos de segurança para o Network Load Balancer
É possível associar um grupo de segurança ao Network Load Balancer para controlar o tráfego que tem permissão para acessar e sair do Network Load Balancer. Você especifica as portas, os protocolos e as fontes para permitir o tráfego de entrada, e as portas, os protocolos e os destinos para permitir o tráfego de saída. Se você não atribuir um grupo de segurança ao Network Load Balancer, todo o tráfego do cliente poderá alcançar os receptores do balanceador de carga e todo o tráfego poderá sair do Network Load Balancer.
Você pode adicionar uma regra aos grupos de segurança associados aos seus destinos que faça referência ao grupo de segurança associado ao Network Load Balancer. Isso permite que os clientes enviem tráfego para seus destinos por meio do Network Load Balancer, mas impede que eles enviem tráfego diretamente para seus destinos. Fazer referência ao grupo de segurança associado ao Network Load Balancer nos grupos de segurança associados aos destinos garante que os destinos aceitem o tráfego do Network Load Balancer, mesmo que você habilite a preservação do IP do cliente para o Network Load Balancer.
Você não é cobrado pelo tráfego que é bloqueado pelas regras de entrada do grupo de segurança.
Conteúdo
Considerações
-
Você pode associar grupos de segurança a um Network Load Balancer quando criá-lo. Se você criar um Network Load Balancer sem associar grupos de segurança, não poderá associá-los ao Network Load Balancer posteriormente. Recomendamos associar um grupo de segurança ao Network Load Balancer ao criá-lo.
-
Caso crie um Network Load Balancer com grupos de segurança associados, você poderá mudar os grupos de segurança associados ao Network Load Balancer a qualquer momento.
-
As verificações de integridade estão sujeitas às regras de saída, mas não às regras de entrada. Você deve garantir que as regras de saída não bloqueiem o tráfego da verificação de integridade. Caso contrário, o Network Load Balancer considerará os destinos não íntegros.
-
Você pode controlar se o tráfego do PrivateLink está sujeito às regras de entrada. Se você habilitar as regras de entrada no tráfego do PrivateLink, a origem do tráfego será o endereço IP privado do cliente, não a interface do endpoint.
Exemplo: filtro de tráfego de clientes
As regras de entrada a seguir no grupo de segurança associado ao Network Load Balancer só permitem tráfego proveniente do intervalo de endereços especificado. Para um Network Load Balancer interno, você poderá especificar um intervalo CIDR de VPC como origem para permitir somente tráfego de uma VPC específica. Para um Network Load Balancer voltado para a Internet que precise aceitar tráfego de qualquer lugar na Internet, você poderá especificar 0.0.0.0/0 como origem.
| Protocolo | Origem | Intervalo de portas | Comment |
|---|---|---|---|
protocolo |
intervalo de endereços IP do cliente |
porta do receptor |
Permite tráfego de entrada do CIDR de origem na porta do receptor |
| ICMP | 0.0.0.0/0 | Todos | Permite que o tráfego ICMP de entrada dê suporte a MTU ou a Path MTU Discovery † |
† Para obter mais informações, consulte Descoberta de MTU do caminho no Guia do usuário do Amazon EC2.
| Protocolo | Destino | Intervalo de portas | Comment |
|---|---|---|---|
| Todos | Qualquer lugar | Todos | Permite todo o tráfego de saída |
Exemplo: aceitar tráfego somente do Network Load Balancer
Suponha que o Network Load Balancer tenha um grupo de segurança sg-111112222233333. Use as regras a seguir nos grupos de segurança associados às instâncias de destino para garantir que elas aceitem tráfego somente do Network Load Balancer. Você deve garantir que os destinos aceitem o tráfego do Network Load Balancer na porta de destino e na porta de verificação de integridade. Para obter mais informações, consulte Grupos de segurança de destino.
| Protocolo | Origem | Intervalo de portas | Comment |
|---|---|---|---|
protocolo |
sg-111112222233333 | porta de destino |
Permite tráfego de entrada do Network Load Balancer na porta de destino |
protocolo |
sg-111112222233333 | verificação de integridade |
Permite tráfego de entrada do Network Load Balancer na porta de verificação de integridade |
| Protocolo | Destino | Intervalo de portas | Comment |
|---|---|---|---|
| Todos | Qualquer lugar | Any | Permite todo o tráfego de saída |
Atualizar os grupos de segurança associados
Se você tiver associado pelo menos um grupo de segurança a um Network Load Balancer ao criá-lo, poderá atualizar os grupos de segurança desse Network Load Balancer a qualquer momento.
Atualizar as configurações de segurança
Por padrão, aplicamos as regras do grupo de segurança de entrada a todo o tráfego enviado ao Network Load Balancer. No entanto, talvez você não queira aplicar essas regras ao tráfego enviado ao Network Load Balancer por meio do AWS PrivateLink, que pode ser originado da sobreposição de endereços IP. Nesse caso, você pode configurar o Network Load Balancer para que não apliquemos as regras de entrada para o tráfego enviado ao Network Load Balancer via AWS PrivateLink.
Monitorar grupos de segurança do Network Load Balancer
Use as métricas SecurityGroupBlockedFlowCount_Inbound e SecurityGroupBlockedFlowCount_Outbound do CloudWatch para monitorar a contagem de fluxos bloqueados pelos grupos de segurança do Network Load Balancer. O tráfego bloqueado não é refletido em outras métricas. Para obter mais informações, consulte Métricas do CloudWatch para o Network Load Balancer.
Use os logs de fluxo da VPC para monitorar o tráfego aceito ou rejeitado pelos grupos de segurança do Network Load Balancer. Para obter mais informações, consulte Logs de fluxo da VPC no Guia do usuário da Amazon VPC.
