Ir para o conteúdo
Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post
sobre o re:Post

Como configuro grupos de segurança e ACLs da rede ao criar um endpoint de interface da Amazon VPC para serviços de endpoint?

5 minuto de leitura
0

Quero configurar grupos de segurança e listas de controle de acesso à rede (ACLs da rede) ao criar um endpoint de interface da Amazon Virtual Private Cloud (Amazon VPC) para conectar um serviço de endpoint.

Resolução

Quando você cria um endpoint de interface da Amazon VPC com um serviço de endpoint, a Amazon VPC cria uma interface de rede elástica na sub-rede que você especifica. O endpoint de interface recebe a ACL da rede da sub-rede associada. Você também deve associar um grupo de segurança ao endpoint de interface para controlar o tráfego de entrada.

Quando você associa um Network Load Balancer a um serviço de endpoint, o Network Load Balancer encaminha solicitações para o destino registrado. O Network Load Balancer encaminha as solicitações como se um endereço IP registrasse o destino. Nesse caso, os endereços IP de origem são os endereços IP privados dos nós do balanceador de carga.

Se você tiver acesso ao serviço de endpoint da Amazon VPC, verifique as seguintes configurações:

  • As regras do grupo de segurança de entrada dos destinos do Network Load Balancer permitem o tráfego do endereço IP privado dos nós do Network Load Balancer. Para obter mais informações, consulte Considerações.
  • As regras de ACL da rede para os destinos do Network Load Balancer permitem o tráfego do endereço IP privado dos nós do Network Load Balancer.

Encontre a ACL da rede associada ao seu endpoint de interface

Conclua as etapas a seguir:

  1. Abra o console da Amazon VPC.
  2. Clique em Endpoints e, em seguida, selecione o ID do seu endpoint.
  3. Selecione a visualização Sub-redes.
  4. Selecione as sub-redes associadas.
  5. Na seção Sub-redes, observe a ACL da rede associada às sub-redes.

Encontre o grupo de segurança associado ao seu endpoint de interface

Conclua as etapas a seguir:

  1. Abra o console da Amazon VPC.
  2. Clique em Endpoints e, em seguida, selecione o ID do seu endpoint.
  3. Selecione a visualização Grupos de segurança.
  4. Observe os IDs dos grupos de segurança associados.

Atualize o grupo de segurança associado ao seu Network Load Balancer

É possível controlar se o tráfego do AWS PrivateLink está sujeito às regras de entrada. Se você ativar as regras de entrada no tráfego do PrivateLink, a origem do tráfego será o endereço IP privado do cliente, não a interface do endpoint.

Se você não quiser usar regras de entrada para o tráfego que o PrivateLink envia para o balanceador de carga, configure o balanceador de carga. Para obter mais informações, consulte Atualizar os grupos de segurança para o Network Load Balancer.

Configure o grupo de segurança associado ao endpoint de interface

Observação: os grupos de segurança têm estado. Quando você define uma regra em uma direção, permite automaticamente o tráfego na outra direção.

Ao configurar sua regra de entrada, insira a mesma porta do seu serviço de endpoint em Port Range. Em Source, insira o endereço IP ou a rede do cliente iniciador.

Observação: você não precisa criar uma regra de saída no grupo de segurança associado ao endpoint de interface.

Repita essas etapas para cada grupo de segurança associado ao seu endpoint de interface.

Configure a ACL da rede associada ao endpoint de interface

Observação: as ACLs de rede não têm estado. Você deve definir regras para tráfego de entrada e saída.

Conclua as etapas a seguir:

  1. Adicione regras à sua ACL da rede.
  2. Na regra de entrada, use as seguintes configurações para permitir o tráfego do cliente:
    Em Port Range, insira a mesma porta do seu serviço de endpoint.
    Em Source, insira o endereço IP ou a rede do cliente.
  3. Na regra de saída, use as seguintes configurações para permitir o tráfego de retorno do endpoint de interface:
    Em Port Range, insira 1024-65535.
    Em Destination, insira o endereço IP ou a rede do cliente.

Se você especificou ACLs de rede diferentes para cada sub-rede, repita as etapas para cada ACL da rede associada ao seu endpoint de interface.

Observação: ao configurar o grupo de segurança do cliente de origem, verifique se as regras de saída permitem conectividade com os endereços IP privados do endpoint de interface. Você não precisa verificar as regras de entrada do grupo de segurança do cliente. Na ACL da rede do cliente de origem, use as seguintes configurações:

  • Na sua regra de entrada, insira o intervalo de portas temporárias 1024-65535 em Port Range. Em Source, insira o endereço IP privado do endpoint de interface.
  • Na sua regra de saída, insira a mesma porta do seu serviço de endpoint em Port Range. Em Destination, insira o endereço IP privado do endpoint de interface.

Informações relacionadas

Como soluciono problemas de conectividade entre um endpoint da Amazon VPC de interface e um serviço de endpoint?

Por que não consigo me conectar a um serviço quando o grupo de segurança e a ACL da rede permitem tráfego de entrada?

Tópicos
Networking & Content Delivery
Tags
Amazon VPC
Idioma
Português
AWS OFICIALAtualizada há 7 meses
Sem comentários

Conteúdo relevante