Elastic Load Balancer にセキュリティグループをアタッチするにはどうすればよいですか?

所要時間1分
0

Elastic Load Balancing ロードバランサーにセキュリティグループを設定してアタッチしたいと考えています。

解決策

Classic Load Balancer を使用している場合は、「コンソールを使用したセキュリティグループの管理」または「AWS コマンドラインインターフェイス (AWS CLI) を使用したセキュリティグループの管理」を参照してください。

**注:**AWS CLI コマンドを実行したときにエラーが表示される場合は、「AWS CLI エラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。

Application Load Balancer を使用する場合は、「Application Load Balancer のセキュリティグループ」を参照してください。

Network Load Balancer を使用する場合、Network Load Balancer を作成するときにセキュリティグループを関連付けることができます。

ターゲットタイプが IP アドレスの場合、クライアント IP 保持設定はオフになります。ターゲットは、ロードバランサーのプライベート IP アドレスをヘルスチェックとユーザートラフィックのソース IP アドレスと見なします。ロードバランサーのプライベート IP アドレスまたはロードバランサーのセキュリティグループをターゲットのセキュリティグループの許可リストに登録することをお勧めします。

**注:**クライアント IP の保持設定とターゲットのセキュリティグループを確認してください。設定がオフで、ターゲットがロードバランサーのプライベート IP アドレスまたはセキュリティグループを許可リストに登録している場合、すべての受信トラフィックがサービスにアクセスできます。サービスのアクセスが特定の CIDR 範囲に制限されている場合は、Network Load Balancer を使用してください。必ずセキュリティグループを使用してロードバランサーを作成し、必要なクライアントの CIDR のみを許可してください。

ターゲットタイプがインスタンスで、グループプロトコルが TCP/ TLS/ UDP/TCP_UDP の場合、クライアント IP アドレスはデフォルトで保持されます。セキュリティグループなしで Network Load Balancer を作成する場合は、ターゲットセキュリティグループのクライアント IP アドレスを許可リストに登録することをお勧めします。セキュリティグループを持つ Network Load Balancer では、ロードバランサーのセキュリティグループでクライアントアクセスを制御できます。

TCP/TLS ターゲットグループのデフォルトのクライアント IP 保持設定を変更するには、preserve_client_ip.enabled ターゲットグループ属性を設定します。UDP/TCP_UDP プロトコルターゲットグループの動作は変更できません。動作は常にオンになっています。

**注:**各 Classic Load Balancer または Application Load Balancer に少なくとも 1 つのセキュリティグループを関連付けます。セキュリティグループは、ロードバランサーと関連するバックエンドインスタンス間の接続を許可する必要があります。Network Load Balancer の場合、ロードバランサーの作成時にセキュリティグループを選択する必要はありません。ただし、セキュリティグループなしで Network Load Balancer を作成した場合、後でセキュリティグループを関連付けることはできません。

関連情報

Monitor your Classic Load Balancer

Application Load Balancer を監視する

AWS公式
AWS公式更新しました 6ヶ月前
コメントはありません

関連するコンテンツ