Reglas de grupos de seguridad
Para garantizar las comunicaciones normales entre el balanceador de carga y los servidores backend, debe comprobar las reglas de grupo de seguridad y las reglas de ACL de red configuradas para los servidores backend.
Cuando los servidores backend reciben solicitudes del balanceador de carga, las direcciones IP de origen se traducen en 100.125.0.0/16.
- Las reglas de grupo de seguridad deben permitir el tráfico desde 100.125.0.0/16 a los servidores backend. Para obtener más información acerca de cómo configurar reglas de grupo de seguridad, consulte Configuración de reglas de grupo de seguridad.
- Las reglas de ACL de red son opcionales para las subredes. Si se configuran reglas de ACL de red para la subred backend del balanceador de carga, las reglas de ACL de red deben permitir el tráfico desde la subred backend del balanceador de carga a los servidores backend. Para obtener más información acerca de cómo configurar estas reglas, consulte Configuración de reglas de ACL de red.
Si Transfer Client IP Address está habilitado para los oyentes TCP o UDP, las reglas de ACL de red y las reglas de grupo de seguridad no tendrán efecto. Puede usar el control de acceso para limitar qué direcciones IP pueden acceder al oyente. Para aprender a configurar el control de acceso.
Restricciones y limitaciones
- Si la comprobación de estado está habilitada para un grupo de servidores backend, las reglas del grupo de seguridad deben permitir el tráfico desde el puerto de comprobación de estado a través del protocolo de comprobación de estado.
- Si UDP se utiliza para la comprobación de estado, debe haber una regla que permita el tráfico ICMP. Si no existe tal regla, no se puede comprobar el estado de los servidores backend.
Configuración de reglas de grupo de seguridad
Si no tiene las VPC al crear un servidor, el sistema crea automáticamente una para usted. Las reglas de grupo de seguridad predeterminadas solo permiten comunicaciones entre los servidores de la VPC. Para asegurarse de que el balanceador de carga puede comunicarse con estos servidores tanto a través del puerto frontend como del puerto de comprobación de estado, configure las reglas entrantes para los grupos de seguridad que contienen estos servidores.
- Inicie sesión en la consola de gestión.
- En la esquina superior izquierda de la página, haga clic en
y seleccione la región y el proyecto deseados. - En Compute, haga clic en Elastic Cloud Server.
- En la página Elastic Cloud Server, haga clic en el nombre del ECS que se ha agregado a un grupo de servidores backend.
Se mostrará la página que proporciona los detalles del ECS.
- Haga clic en Security Groups, busque el grupo de seguridad y vea las reglas del grupo de seguridad.
- Haga clic en el ID de una regla o Modify Security Group Rule de grupo de seguridad. Se muestra la página de detalles del grupo de seguridad.
- En la página de ficha Inbound Rules, haga clic en Add Rule. Configurar una regla de entrada basada en Tabla 1.
Tabla 1 Reglas de grupos de seguridad Protocolo backend
Política
Protocolo & Puerto
Dirección IP de origen
HTTP
Permitir
Protocol: TCP
Port: el puerto utilizado por el servidor backend y el puerto de comprobación de estado
100.125.0.0/16
TCP
Permitir
Protocol: TCP
Port: puerto de comprobación de estado
100.125.0.0/16
UDP
Permitir
Protocol: UDP e ICMP
Port: puerto de comprobación de estado
100.125.0.0/16
- Haga clic en OK.
Configuración de reglas de ACL de red
Para controlar el tráfico dentro y fuera de una subred, puede asociar una ACL de red a la subred. Las reglas de ACL de red controlan el acceso a las subredes y agregan una capa adicional de defensa a las subredes. Las reglas de ACL de red predeterminadas rechazan todo el tráfico entrante y saliente. Si la subred de un balanceador de carga o de los servidores backend asociados tiene un ACL de red asociado, el balanceador de carga no puede recibir tráfico de Internet ni enrutar tráfico a servidores backend, y los servidores backend no pueden recibir tráfico ni responder al balanceador de carga.
Configure una regla de ACL de red entrante para permitir el acceso desde 100.125.0.0/16.
ELB traduce las direcciones IP públicas utilizadas para acceder a servidores backend en direcciones IP privadas en 100.125.0.0/16. No puede configurar reglas para evitar que las direcciones IP públicas accedan a los servidores backend.
Las reglas de ACL de red configuradas para la subred de fondo del balanceador de carga no restringirán el tráfico de los clientes al balanceador de carga. Si estas reglas están configuradas, los clientes pueden acceder directamente al balanceador de carga. Para controlar el acceso al balanceador de carga, configure el control de acceso para todos los oyentes agregados al balanceador de carga
Para obtener más información, véase Control de acceso.
- Inicie sesión en la consola de gestión.
- En la esquina superior izquierda de la página, haga clic en y seleccione la región y el proyecto deseados.
- Pase el cursor sobre
en la esquina superior izquierda para mostrar Service List y elija Networking > Virtual Private Cloud. - En el panel de navegación de la izquierda, elija Access Control > Network ACLs.
- En la lista de ACL de red, haga clic en el nombre del ACL de red para cambiar a la página que muestra sus detalles.
- En la ficha Inbound Rules o Outbound Rules, haga clic en Add Rule para agregar una regla de entrada o de salida.
- Action: Seleccione Allow.
- Protocol: El protocolo debe ser el mismo que el protocolo backend.
- Source: Póngalo en 100.125.0.0/16.
- Source Port Range: Seleccione un rango de puertos.
- Destination: Ingrese una dirección de destino permitida en esta dirección. El valor predeterminado es 0.0.0.0/0, que indica que se permite el tráfico de todas las direcciones IP.
- Destination Port Range: Seleccione un rango de puertos.
- (Opcional) Description: Describa la regla de ACL de red.
- Haga clic en OK.
