Elastic Load Balancer에 보안 그룹을 연결하려면 어떻게 해야 하나요?

최종 업데이트 날짜: 2022년 8월 3일

Classic Load Balancer를 사용하는 경우 콘솔을 사용하여 보안 그룹 관리 또는 AWS CLI를 사용하여 보안 그룹 관리의 지침을 따르세요.

참고: AWS 명령줄 인터페이스(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 AWS CLI의 최신 버전을 사용하고 있는지 확인하세요.

Application Load Balancer를 사용하는 경우 Application Load Balancer 보안 그룹의 지침을 따르세요.

Network Load Balancer를 사용하는 경우, Network Load Balancer에 연결된 보안 그룹이 없으므로 대상 인스턴스에 대한 보안 그룹을 업데이트하세요.

• 대상 유형이 IP이고 대상 그룹 프로토콜이 TCP/TLS/UDP/TCP_UDP - TCP/TLS인 경우 프로토콜은 기본적으로 로드 밸런서 프라이빗 IP를 소스 IP로 사용합니다. 즉, 대상 보안 그룹에서 로드 밸런서 프라이빗 IP를 허용 목록에 추가하는 것이 모범 사례입니다. UDP/TCP_UDP는 기본적으로 클라이언트 IP 주소를 보존합니다. 즉, 대상 보안 그룹에서 클라이언트 IP를 허용 목록에 추가하는 것이 모범 사례입니다.

  참고: 클라이언트 IP 보존이 활성화되어 있지 않고 대상 보안 그룹이 로드 밸런서 프라이빗 IP를 허용 목록에 추가한 경우, 모든 수신 트래픽이 서비스에 액세스하도록 허용하게 됩니다. 서비스가 특정 CIDR 범위로 액세스를 제한하도록 설계된 경우, 네트워크 액세스 제어 목록(네트워크 ACL)을 사용하여 특정 CIDR을 허용 목록에 추가하고 나머지는 거부합니다. 또는 클라이언트 IP 보존을 활성화하고 대상 보안 그룹에 대한 제한을 설정할 수 있습니다. 이 작업에 대해서는 나중에 설명합니다.

• 대상 유형이 인스턴스이고 대상 그룹 프로토콜이 TCP/TLS/UDP/TCP_UDP인 경우 Network Load Balancer의 기본 동작은 클라이언트 IP 주소를 보존하는 것입니다. 클라이언트 IP 보존 설정이 기본값으로 유지되는 경우, 대상 보안 그룹에서 클라이언트 IP 주소를 허용 목록에 추가하는 것이 모범 사례입니다.

필요에 따라 대상 그룹 속성 ‘preserve_client_ip.enabled’를 설정하여 TCP/TLS 대상 그룹에 대한 기본 클라이언트 IP 보존 동작을 변경할 수 있습니다. UDP/TCP_UDP 프로토콜 대상 그룹에 대해서는 이 동작을 변경할 수 없습니다. 클라이언트 IP 보존이 활성화되었는지 여부에 따라(구성 선택 사항에 따라) 대상 보안 그룹의 허용 목록에 추가된 IP CIDR을 조정하는 것이 모범 사례입니다. 클라이언트 IP 보존이 활성화된 경우 클라이언트 IP 주소를 허용하는 것이 모범 사례입니다. 활성 상태가 아닌 경우 로드 밸런서 프라이빗 IP 주소를 허용 목록에 추가하는 것이 모범 사례입니다. Network Load Balancer의 클라이언트 IP 보존 동작에 대한 자세한 내용은 Network Load Balancer의 대상 그룹을 참조하세요.

참고: 하나 이상의 보안 그룹을 각 Classic 또는 Application Load Balancer에 연결하고 로드 밸런서와 연결된 백엔드 인스턴스 간의 연결을 허용하도록 보안 그룹을 구성해야 합니다.