Configurar grupos de seguridad para el equilibrador de carga clásico

Al usar el Consola de administración de AWS para crear un balanceador de cargas, puede elegir un grupo de seguridad existente o crear uno nuevo. Si elige un grupo de seguridad existente, el tráfico debe estar permitido en las dos direcciones en el puerto de oyente y el puerto de comprobación de estado del equilibrador de carga. Si decide crear un grupo de seguridad, la consola agregará automáticamente reglas que permitan todo el tráfico en estos puertos.

[VPC no predeterminada] Si usa AWS CLI la API o crea un balanceador de carga en una VPC no predeterminada, pero no especifica un grupo de seguridad, su balanceador de carga se asocia automáticamente al grupo de seguridad predeterminado de la VPC.

[VPC predeterminada] Si utilizas la API AWS CLI o para crear un balanceador de cargas en tu VPC predeterminada, no podrás elegir un grupo de seguridad existente para tu balanceador de cargas. En su lugar, ELB proporciona un grupo de seguridad con reglas que permiten que todo el tráfico entre en los puertos especificados para el balanceador de cargas. El ELB crea solo uno de estos grupos de seguridad por AWS cuenta, con un nombre con el formato id default_elb_ (por ejemplo,). default_elb_fc5fbed3-0405-3b7d-a328-ea290EXAMPLE Los equilibradores de carga que cree posteriormente en la VPC predeterminada también usarán este grupo de seguridad. No olvide revisar las reglas del grupo de seguridad para asegurarse de que permiten el tráfico en el puerto de oyente y el puerto de comprobación de estado del nuevo equilibrador de carga. Cuando elimine el equilibrador de carga, el grupo de seguridad no se eliminará automáticamente.

Si agrega un oyente a un equilibrador de carga existente, deberá revisar los grupos de seguridad para asegurarse de que el tráfico está permitido en el puerto del nuevo oyente en las dos direcciones.

Contenido

Reglas recomendadas para los grupos de seguridad del equilibrador de carga
Asignación de grupos de seguridad a través de la consola
Asigne grupos de seguridad mediante el AWS CLI

Reglas recomendadas para los grupos de seguridad del equilibrador de carga

Los grupos de seguridad de los equilibradores de carga deben permitir que estos se comuniquen con las instancias. Las reglas recomendadas dependen del tipo de equilibrador de carga expuesto a Internet o interno.

Equilibrador de carga expuesto a Internet

En la tabla siguiente, se muestran las reglas recomendadas entrantes para un equilibrador de carga expuesto a Internet.

origen	Protocolo	Rango de puertos	Comment
0.0.0.0/0	TCP	`listener`	Permitir todo el tráfico entrante en el puerto del oyente del equilibrador de carga

En la tabla siguiente, se muestran las reglas recomendadas salientes para un equilibrador de carga expuesto a Internet.

Destino	Protocolo	Rango de puertos	Comment
`instance security group`	TCP	`instance listener`	Permitir el tráfico saliente a las instancias en el puerto del oyente de la instancia
`instance security group`	TCP	`health check`	Permitir el tráfico saliente a las instancias en el puerto de comprobación de estado

Equilibradores de carga internos

En la tabla siguiente, se muestran las reglas recomendadas entrante para un equilibrador de carga interno.

origen	Protocolo	Rango de puertos	Comment
`VPC CIDR`	TCP	`listener`	Permitir el tráfico entrante del CIDR de VPC en el puerto del oyente del equilibrador de carga

En la tabla siguiente, se muestran las reglas recomendadas saliente para un equilibrador de carga interno.

Destino	Protocolo	Rango de puertos	Comment
`instance security group`	TCP	`instance listener`	Permitir el tráfico saliente a las instancias en el puerto del oyente de la instancia
`instance security group`	TCP	`health check`	Permitir el tráfico saliente a las instancias en el puerto de comprobación de estado

Asignación de grupos de seguridad a través de la consola

Utilice el siguiente procedimiento para cambiar los grupos de seguridad asociados al equilibrador de carga.

Para actualizar un grupo de seguridad asignado al equilibrador de carga mediante la consola

Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.
En el panel de navegación, en Equilibrio de carga, elija Equilibradores de carga.
Seleccione el nombre del equilibrador de carga para abrir su página de detalles.
En la pestaña Seguridad, seleccione Editar.
En la página Editar grupos de seguridad, en Grupos de seguridad, agregue o elimine grupos de seguridad según sea necesario.

Puede agregar hasta cinco grupos de seguridad.
Cuando haya finalizado, elija Guardar cambios.

Asigne grupos de seguridad mediante el AWS CLI

Use el siguiente comando apply-security-groups-to-load-balancer para asociar un grupo de seguridad a un balanceador de cargas. Los grupos de seguridad especificados sobrescribe los grupos de seguridad asociados anteriormente.


aws elb apply-security-groups-to-load-balancer --load-balancer-name my-loadbalancer --security-groups sg-53fae93f

A continuación, se muestra un ejemplo de respuesta:


{
  "SecurityGroups": [
     "sg-53fae93f"
  ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Subredes y zonas

Red ACLs