我如何将安全组附加到我的 Elastic Load Balancing 负载均衡器上?

1 分钟阅读
0

我想配置一个安全组并附加到我的 Elastic Load Balancing 负载均衡器上。

解决方法

如果您使用的是经典负载均衡器,请参阅使用控制台管理安全组使用 AWS 命令行界面 (AWS CLI) 管理安全组

注意: 如果您在运行 AWS CLI 命令时收到错误,请参阅排查 AWS CLI 错误。此外,请确保您使用的是最新的 AWS CLI 版本

如果您使用应用程序负载均衡器,请参阅应用程序负载均衡器的安全组

如果您使用的是网络负载均衡器,可以在创建网络负载均衡器时关联安全组

如果您的目标类型是 IP 地址,客户端 IP 保留设置将关闭。目标会将负载均衡器的私有 IP 地址视为运行状况检查和用户流量的源 IP 地址。最佳做法是将负载均衡器的私有 IP 地址或负载均衡器的安全组列入目标安全组的允许列表。

注意: 查看您的客户端 IP 保留设置并将安全组作为目标。如果设置已关闭,并且目标已将负载均衡器的私有 IP 地址或安全组列入允许列表,所有传入流量都可以访问您的服务。如果您的服务的访问权限仅限于特定 CIDR 范围,则使用网络负载均衡器。确保使用安全组创建负载均衡器,并且仅允许所需的客户端 CIDR。

如果您的目标类型是实例,组协议是 TCP/ TLS/ UDP/TCP_UDP,默认将保留客户端 IP 地址。如果您创建的是没有安全组的网络负载均衡器,最佳做法是将客户端 IP 地址列入目标安全组的允许列表。对于带有安全组的网络负载均衡器,您可以在负载均衡器的安全组中控制客户端访问权限。

要更改 TCP/TLS 目标组的默认客户端 IP 保留设置,应设置 preserve_client_ip.enabled 目标组属性。您无法更改 UDP/TCP_UDP 协议目标组的行为。此行为始终会处于开启状态。

注意: 至少将一个安全组与每个经典负载均衡器或应用程序负载均衡器关联。该安全组必须允许负载均衡器与关联的后端实例连接。对于网络负载均衡器,在创建负载均衡器时无需选择安全组。但是,如果您创建的是没有安全组的网络负载均衡器,以后您将无法关联安全组。

相关信息

监控经典负载均衡器

监控应用程序负载均衡器

AWS 官方
AWS 官方已更新 5 个月前