보안 그룹을 구성해서 Elastic Load Balancing 로드 밸런서에 연결하고 싶습니다.
해결 방법
Classic Load Balancer를 사용하는 경우 콘솔을 사용하여 보안 그룹 관리 또는 AWS Command Line Interface(AWS CLI)를 사용하여 보안 그룹 관리를 참조하세요.
참고: AWS CLI 명령을 실행하는 동안 오류가 발생하면 AWS CLI 오류 해결을 참조하세요. 또한, 최신 AWS CLI 버전을 사용하고 있는지 확인하세요.
Application Load Balancer를 사용하는 경우 Application Load Balancer의 보안 그룹을 참조하세요.
Network Load Balancer를 사용하는 경우 Network Load Balancer를 생성할 때 보안 그룹을 연결할 수 있습니다.
대상 유형이 IP 주소인 경우 클라이언트 IP 보존 설정이 비활성화됩니다. 대상은 로드 밸런서의 사설 IP 주소를 상태 확인 및 사용자 트래픽을 위한 소스 IP 주소로 인식합니다. 로드 밸런서의 사설 IP 주소 또는 로드 밸런서의 보안 그룹을 대상의 보안 그룹 허용 목록에 추가하는 것이 가장 좋습니다.
참고: 클라이언트 IP 보존 설정 및 대상 보안 그룹을 확인합니다. 설정이 꺼져 있고 대상이 로드 밸런서의 개인 IP 주소 또는 보안 그룹을 허용 목록에 추가한 상태라면 들어오는 모든 트래픽이 서비스에 액세스할 수 있습니다. 서비스에 대한 액세스가 특정 CIDR 범위로 제한되는 경우 Network Load Balancer를 사용하세요. 보안 그룹을 사용하여 로드 밸런서를 만들고 필요한 클라이언트의 CIDR만 허용해야 합니다.
대상 유형이 인스턴스이고 그룹 프로토콜이 TCP/ TLS/ UDP/TCP_UDP인 경우 클라이언트 IP 주소는 기본적으로 유지됩니다. 보안 그룹 없이 Network Load Balancer를 생성한다면 대상 보안 그룹에 클라이언트 IP 주소를 허용 목록에 추가하는 것이 가장 좋습니다. 보안 그룹이 있는 Network Load Balancer의 경우 로드 밸런서의 보안 그룹에서 클라이언트 액세스를 제어할 수 있습니다.
TCP/TLS 대상 그룹에 대한 기본 클라이언트 IP 보존 설정을 변경하려면 preserve_client_ip.enabled 대상 그룹 속성을 설정합니다. UDP/TCP_UDP 프로토콜 대상 그룹의 동작은 변경할 수 없습니다. 동작은 항상 켜져 있습니다.
참고: 각 Classic 또는 Application Load Balancer에 하나 이상의 보안 그룹을 연결합니다. 보안 그룹은 로드 밸런서와 연결된 백엔드 인스턴스 간의 연결을 허용해야 합니다. Network Load Balancer의 경우, 로드 밸런서를 만들 때 보안 그룹을 선택할 필요가 없습니다. 그러나 보안 그룹 없이 Network Load Balancer를 만드는 경우 나중에 보안 그룹을 연결할 수 없습니다.
관련 정보
Classic Load Balancer 모니터링
Application Load Balancer 모니터링