AWS NLB 安全组配置问题
NLB, Network Load Balancer ,网络负载均衡器。
由于 NLB 没有安全组,所以需要将 NLB 所在 的 VPC 或者 NLB 的私网 IP 配置到 目标群组 的安全组上。
我尝试了如下几种配置
- 配置 VPC 的 CIDR 到 目标群组的 安全组 ,在公网无法通过 NLB 访问目标群组
- 配置 NLB 的私有 IP 到 目标群组的 安全组 ,在公网无法通过 NLB 访问 目标群组
- 目标群组的安全组配置 0.0.0.0/0 ,在公网可以通过 NLB 访问 目标群组
显然,所有 ip 可以访问目标群组是不安全的。这里留下一个笔记,有空再去研究研究。
2020-01-03,从 AWS 的技术人员那边获知,NLB的 TCP 转发是透明转发,不携带 NLB 的 IP,NLB 将客户端请求的 TCP 报文原样转发给目标群组,所以需要目标群组对真实 IP 来源做好安全组处理(跟原来的 Classic Load Balancer 相比,NLB 安全配置上太弱鸡了)。
2020-01-13,如何将安全组挂载到负载均衡器?
如果您正在使用网络负载均衡器,请更新目标实例的安全组,因为网络负载均衡器没有关联的安全组。
- 如果目标类型为 IP,则为您的安全组添加规则以允许来自负载均衡器的流量流向目标 IP。
- 如果目标类型为实例,则为您的安全组添加规则以允许来自负载均衡器和客户端的流量流向目标 IP。
https://docs.aws.amazon.com/zh_cn/elasticloadbalancing/latest/network/target-group-register-targets.html