本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Application Load Balancer 的安全组
应用程序负载均衡器的安全组控制允许到达和离开负载均衡器的流量。您必须确保负载均衡器可同时在侦听器端口和运行状况检查端口上与已注册目标进行通信。当您将侦听器添加到负载均衡器或更新负载均衡器所使用的目标组的运行状况检查端口来路由请求时,您必须验证与负载均衡器关联的安全组是否允许新端口上的双向流量。如果它们不允许,您可以编辑当前关联的安全组的规则或将其他安全组与负载均衡器关联。您可以选择允许的端口和协议。例如,您可以打开负载均衡器的 Internet 控制消息协议 (ICMP) 连接,以响应 Ping 请求 (但是,Ping 请求不会转发至任何实例)。
注意事项
-
为确保您的目标仅接收来自负载均衡器的流量,请限制与目标关联的安全组仅接受来自负载均衡器的流量。这可以通过在目标安全组的入口规则中将负载均衡器的安全组设置为源来实现。
-
如果您的应用程序负载均衡器是网络负载均衡器的目标,则您的应用程序负载均衡器的安全组使用连接跟踪来跟踪有关来自网络负载均衡器的流量的信息。无论为 Application Load Balancer 设置的安全组规则如何,都会执行此跟踪 有关更多信息,请参阅 Amazon EC2 用户指南中的安全组连接跟踪。
-
我们建议您允许入站 ICMP 流量以支持 Path MTU 发现。有关更多信息,请参阅《亚马逊 EC2 用户指南》中的 MTU 发现路径。
推荐的规则
对于以实例为目标的面向互联网的负载均衡器,建议使用以下规则。
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
0.0.0.0/0 |
|
在负载均衡器侦听器端口上允许所有入站流量 |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
在实例侦听器端口上允许流向实例的出站流量 |
|
|
|
在运行状况检查端口上允许流向实例的出站流量 |
对于以实例为目标的内部负载均衡器,建议使用以下规则。
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
|
|
在负载均衡器侦听器端口上允许来自 VPC CIDR 的入站流量 |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
在实例侦听器端口上允许流向实例的出站流量 |
|
|
|
在运行状况检查端口上允许流向实例的出站流量 |
对于以实例为目标且其本身就是网络负载均衡器目标的 Application Load Balancer,建议使用以下规则。
| Inbound | ||
|---|---|---|
| Source | Port Range | Comment |
|
|
|
在负载均衡器侦听器端口上允许入站客户端流量 |
|
|
|
允许入站客户端流量通过 AWS PrivateLink 负载均衡器侦听器端口 |
|
|
|
允许来自 Network Load Balancer 的入栈运行状况流量 |
|
Outbound |
||
| Destination | Port Range | Comment |
|
|
|
在实例侦听器端口上允许流向实例的出站流量 |
|
|
|
在运行状况检查端口上允许流向实例的出站流量 |
更新关联的安全组
您可以随时更新与负载均衡器关联的安全组。
