Come posso collegare un gruppo di sicurezza al mio sistema di bilanciamento del carico Elastic Load Balancing?
Desidero configurare e collegare un gruppo di sicurezza al mio sistema di bilanciamento del carico Elastic Load Balancing.
Risoluzione
Se utilizzi un Classic Load Balancer, consulta la sezione Gestione dei gruppi di sicurezza mediante la console o Gestione dei gruppi di sicurezza mediante AWS CLI.
Nota: se ricevi dei messaggi di errore quando esegui i comandi dell'interfaccia della linea di comando AWS, consulta la sezione Risolvere gli errori AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.
Se utilizzi un Application Load Balancer, consulta la sezione Gruppi di sicurezza per il tuo Application Load Balancer.
Se utilizzi un Network Load Balancer, puoi associare un gruppo di sicurezza durante la creazione del Network Load Balancer.
Se il Tipo di destinazione è un indirizzo IP, l'impostazione Conservazione IP client è disattivata. La destinazione vedrà l'indirizzo IP privato del sistema di bilanciamento del carico come l'indirizzo IP di origine per i controlli di integrità e il traffico degli utenti. È consigliabile inserire nell'elenco consentito gli indirizzi IP privati del sistema di bilanciamento del carico o il gruppo di sicurezza del sistema di bilanciamento del carico nel gruppo di sicurezza della destinazione.
Nota: rivedi le impostazioni di conservazione dell'IP client e i gruppi di sicurezza di destinazione. Se l'impostazione è disattivata e la destinazione inserisce nell'elenco consentito gli indirizzi IP privati o i gruppi di sicurezza del sistema di bilanciamento del carico, tutto il traffico in entrata potrà accedere al servizio. Se l'accesso al servizio è limitato a intervalli CIDR specifici, utilizza un Network Load Balancer. Assicurati di creare il sistema di bilanciamento del carico con i gruppi di sicurezza e di consentire solamente il CIDR dei client richiesti.
Se il Tipo di destinazione è un'istanza e il protocollo del gruppo è TCP/ TLS/ UDP/TCP_UDP, per impostazione predefinita viene mantenuto l'indirizzo IP del client. Se crei il Network Load Balancer senza gruppi di sicurezza, è consigliabile inserire nell'elenco consentito gli indirizzi IP client nel gruppo di sicurezza di destinazione. Per un Network Load Balancer con gruppi di sicurezza è possibile controllare l'accesso dei client al gruppo di sicurezza del sistema di bilanciamento del carico.
Per modificare l'impostazione predefinita di conservazione dell'IP client per il gruppo di destinazione TCP/TLS, imposta l'attributo del gruppo di destinazione preserve_client_ip.enabled. Non è possibile modificare il comportamento dei gruppi di destinazione del protocollo UDP/TCP_UDP. Il comportamento è sempre attivo.
Nota: associa almeno un gruppo di sicurezza a ciascun Classic Load Balancer o Application Load Balancer. Il gruppo di sicurezza deve consentire le connessioni tra il sistema di bilanciamento del carico e le istanze back-end associate. Per i Network Load Balancer non è necessario selezionare i gruppi di sicurezza quando si crea il sistema di bilanciamento del carico. Tuttavia, se crei un Network Load Balancer senza un gruppo di sicurezza, non puoi associare un gruppo di sicurezza in un secondo momento.
Informazioni correlate
Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 9 mesi fa