Grupos de seguridad para el Equilibrador de carga de aplicación - Elastic Load Balancing
Reglas recomendadasActualizar los grupos de seguridad asociados

Grupos de seguridad para el Equilibrador de carga de aplicación

El grupo de seguridad del Equilibrador de carga de aplicación controla el tráfico al que se le permite llegar y dejar el equilibrador de carga. Debe asegurarse de que el equilibrador de carga pueda comunicarse con los destinos registrados en el puerto del oyente y en el puerto de comprobación de estado. Cada vez que agregue un oyente al equilibrador de carga o actualice la comprobación de estado de un grupo de destino que el equilibrador de carga utilice para direccionar solicitudes, debe asegurarse de que los grupos de seguridad asociados a ese equilibrador de carga permitan el tráfico en el nuevo puerto en ambas direcciones. Si no es así, puede editar las reglas de los grupos de seguridad que estén asociados al equilibrador de carga o bien asociarle otros grupos de seguridad. Puede elegir los puertos y los protocolos que desee permitir. Por ejemplo, puede abrir conexiones del Protocolo de mensajes de control de Internet (ICMP) para que el equilibrador de carga responda a las solicitudes de ping (sin embargo, las solicitudes de ping no se reenvían a ninguna instancia).

Consideraciones

  • Para garantizar que sus destinos reciban tráfico exclusivamente del equilibrador de carga, limite los grupos de seguridad asociados a los destinos para que acepten únicamente el tráfico del equilibrador de carga. Para ello, configure el grupo de seguridad del equilibrador de carga como el origen en la regla de entrada del grupo de seguridad del destino.

  • Si el equilibrador de carga de aplicaciones es un destino de un equilibrador de carga de red, los grupos de seguridad del equilibrador de carga de aplicaciones usan el seguimiento de conexiones para rastrear información sobre el tráfico que proviene del equilibrador de carga de red. Esto ocurre independientemente de las reglas del grupo de seguridad establecidas para su Equilibrador de carga de aplicación. Para obtener más información, consulte Seguimiento de conexiones de grupos de seguridad en la Guía del usuario de Amazon EC2.

  • Recomendamos permitir el tráfico ICMP entrante para admitir el descubrimiento de MTU de ruta. Para obtener más información, consulte Detección de la MTU de la ruta en la Guía del usuario de Amazon EC2.

Las siguientes reglas se recomiendan para un equilibrador de carga de acceso a Internet con instancias como destinos.

Inbound
Origen Rango de puertos Comentario

0.0.0.0/0

oyente

Permitir todo el tráfico entrante en el puerto del oyente del equilibrador de carga

Outbound

Destino Rango de puertos Comentario

grupo de seguridad de instancia

oyente de instancia

Permitir el tráfico saliente a las instancias en el puerto del oyente de la instancia

grupo de seguridad de instancia

comprobación de estado

Permitir el tráfico saliente a las instancias en el puerto de comprobación de estado

Las siguientes reglas se recomiendan para un equilibrador de carga interno con instancias como destinos.

Inbound
Origen Rango de puertos Comentario

CIDR de VPC

oyente

Permitir el tráfico entrante del CIDR de VPC en el puerto del oyente del equilibrador de carga

Outbound

Destino Rango de puertos Comentario

grupo de seguridad de instancia

oyente de instancia

Permitir el tráfico saliente a las instancias en el puerto del oyente de la instancia

grupo de seguridad de instancia

comprobación de estado

Permitir el tráfico saliente a las instancias en el puerto de comprobación de estado

Las siguientes reglas se recomiendan para un equilibrador de carga de aplicaciones con instancias como destinos cuando este es un destino de un equilibrador de carga de red.

Inbound
Origen Rango de puertos Comentario

Direcciones IP de clientes/CIDR

alb oyente

Permite el tráfico entrante del cliente en el puerto del oyente del equilibrador de carga.

CIDR de VPC

alb oyente

Permitir todo el tráfico entrante mediante AWS PrivateLink en el puerto del oyente del equilibrador de carga

CIDR de VPC

alb oyente

Permitir el tráfico de estado entrante desde el Equilibrador de carga de red

Outbound

Destino Rango de puertos Comentario

grupo de seguridad de instancia

oyente de instancia

Permitir el tráfico saliente a las instancias en el puerto del oyente de la instancia

grupo de seguridad de instancia

comprobación de estado

Permitir el tráfico saliente a las instancias en el puerto de comprobación de estado

Actualizar los grupos de seguridad asociados

Puede actualizar los grupos de seguridad asociados con el equilibrador de carga en cualquier momento.

Console
Para actualizar los grupos de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Load Balancers.

  3. Seleccione el equilibrador de carga.

  4. En la pestaña Seguridad, seleccione Editar.

  5. Para asociar un grupo de seguridad al equilibrador de carga, selecciónelo. Para eliminar la asociación de un grupo de seguridad, elija el icono X del grupo de seguridad.

  6. Seleccione Save changes (Guardar cambios).

AWS CLI
Para actualizar los grupos de seguridad

Utilice el comando set-security-groups.

aws elbv2 set-security-groups \
    --load-balancer-arn load-balancer-arn \
    --security-groups sg-01dd3383691d02f42 sg-00f4e409629f1a42d
CloudFormation
Para actualizar los grupos de seguridad

Actualice el recurso AWS::ElasticLoadBalancingV2::LoadBalancer.

Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-alb
      Type: application
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
        - !Ref myNewSecurityGroup