Hospedo um site em uma instância do EC2. Como permitir que meus usuários se conectem via HTTP (80) ou HTTPS (443)?

Resolução

Para permitir o tráfego nas portas 80 e 443, configure o grupo de segurança associado e a lista de controle de acesso à rede (ACL da rede).

Regras do grupo de segurança

Para tráfego HTTP, adicione uma regra de entrada na porta 80 a partir do endereço de origem 0.0.0.0/0.

Para tráfego HTTPS, adicione uma regra de entrada na porta 443 a partir do endereço de origem 0.0.0.0/0.

Essas regras de entrada permitem o tráfego de endereços IPv4. Para permitir o tráfego IPv6, adicione regras de entrada nas mesmas portas do endereço de origem: :/0. Para obter mais informações sobre como criar ou modificar grupos de segurança, consulte Controlar o tráfego para recursos usando grupos de segurança.

Os grupos de segurança têm estado, portanto, o tráfego de retorno da instância para os usuários é permitido automaticamente. Você não precisa modificar as regras de saída do grupo de segurança.

Observação: o exemplo a seguir mostra as regras do grupo de segurança para permitir tráfego IPv4 e IPv6 nas portas TCP 80 (HTTP) e 443 (HTTPS). Determine se outras fontes de tráfego, como SSH ou RDP para fazer login na instância, devem ser permitidas para seu caso de uso. Em seguida, certifique-se de que seu grupo de segurança tenha as regras de entrada relevantes para permitir o tráfego necessário.

Regras de entrada

ACL de rede

A ACL de rede padrão permite todo o tráfego IPv4 de entrada e saída. Se seus usuários se conectarem por IPv6 e sua Amazon Virtual Private Cloud (Amazon VPC) tiver um bloco CIDR IPv6 associado, sua ACL de rede padrão também adicionará automaticamente regras que permitem todo o tráfego IPv6 de entrada e saída. No entanto, se você usar uma ACL de rede personalizada com regras mais restritivas, deverá permitir explicitamente o tráfego nas portas 80 e 443.

As ACLs de rede não têm estado, portanto, você deve adicionar regras de entrada e saída para permitir a conexão com seu site. Para obter mais informações sobre como modificar as regras de ACL de rede, consulte Controlar o tráfego para sub-redes usando ACLs de rede.

Observação: O exemplo a seguir mostra uma ACL de rede personalizada que permite tráfego nas portas TCP 80 (HTTP) e 443 (HTTPS). As ACLs de rede são aplicadas a todos os recursos em uma sub-rede inteira, e não apenas a uma única instância do EC2. No exemplo de configuração, todo o tráfego de e para recursos na mesma sub-rede é bloqueado, exceto nas portas de destino 80 e 443. Determine se outras fontes de tráfego, como SSH ou RDP para fazer login na instância, devem ser permitidas para seu caso de uso. Em seguida, verifique se você tem as regras de entrada relevantes para permitir o tráfego necessário.

Regras de entrada

Regras de saída

Solução de problemas de erro de conexão recusada

Um erro de conexão recusada significa que a solicitação de conexão é roteada para a instância, mas não é recebida do serviço na porta especificada. Se o Host A iniciar uma conexão TCP com o Host B e receber um erro de conexão recusada, esse erro significa o seguinte:

• Primeiro, o Host A enviou um pacote TCP SYN para o Host B.
• Em seguida, o Host B enviou um pacote TCP RST em resposta ao Host A.

Se você encontrar esse erro, mesmo depois de permitir as portas TCP 80 e 443 no grupo de segurança e na ACL de rede, resolva o seguinte:

• O daemon de serviço, como httpd (Apache), não está em execução ou está em um estado interrompido.

Para solucionar problemas, verifique se o serviço está no estado de execução na instância do EC2.

• O serviço está escutando em uma porta errada.

Para solucionar problemas, verifique se a instância do EC2 está escutando na porta TCP necessária (80/443).

• A porta está bloqueada por um firewall.

Para solucionar problemas, verifique se um firewall no nível do sistema operacional na instância do EC2 está bloqueando o tráfego TCP de entrada na porta necessária.