Reglas de grupos de seguridad
Escenarios
Para garantizar las comunicaciones normales entre el balanceador de carga y los servidores backend, debe comprobar las reglas de grupo de seguridad y las reglas de ACL de red configuradas para los servidores backend.
- Las reglas de grupo de seguridad deben permitir el tráfico desde la subred backend donde reside el balanceador de carga hacia los servidores backend. (De forma predeterminada, la subred de fondo de un balanceador de carga es la misma que la subred donde reside el balanceador de carga.) Para obtener más información acerca de cómo configurar reglas de grupo de seguridad, consulte Configuración de reglas de grupo de seguridad.
- Las reglas de ACL de red son opcionales para las subredes. Si se configuran reglas de ACL de red para la subred backend del balanceador de carga, las reglas de ACL de red deben permitir el tráfico desde la subred backend del balanceador de carga a los servidores backend. Para obtener más información acerca de cómo configurar las reglas de ACL de red, consulte Configuración de reglas de ACL de red.
Si el balanceador de carga tiene un oyente de TCP o de UDP y la IP como backend está deshabilitado, las reglas de grupo de seguridad y las reglas de ACL de red no tendrán efecto.
Puede usar el control de acceso para limitar qué direcciones IP pueden acceder al oyente. Más información sobre cómo configurar Control de acceso.
Restricciones y limitaciones
- Si la comprobación de estado está habilitada para un grupo de servidores backend, las reglas del grupo de seguridad deben permitir el tráfico desde el puerto de comprobación de estado a través del protocolo de comprobación de estado.
- Si UDP se utiliza para la comprobación de estado, debe haber una regla que permita que el tráfico ICMP compruebe el estado de los servidores backend.
Configuración de reglas de grupo de seguridad
Si no tiene las VPC al crear un servidor, el sistema crea automáticamente una para usted. Las reglas de grupo de seguridad predeterminadas solo permiten comunicaciones entre los servidores de la VPC. Para asegurarse de que el balanceador de carga puede comunicarse con estos servidores tanto a través del puerto frontend como del puerto de comprobación de estado, configure las reglas entrantes para los grupos de seguridad que contienen estos servidores.
- Inicie sesión en la consola de gestión.
- En la esquina superior izquierda de la página, haga clic en y seleccione la región y el proyecto deseados.
- En Compute, haga clic en Elastic Cloud Server.
- En la página Elastic Cloud Server, haga clic en el nombre del ECS que se ha agregado a un grupo de servidores backend.
Se mostrará la página que proporciona los detalles del ECS.
- Haga clic en Security Groups, busque el grupo de seguridad y vea las reglas del grupo de seguridad.
- Haga clic en el ID de una regla o Modify Security Group Rule de grupo de seguridad. Se muestra la página de detalles del grupo de seguridad.
- En la página de ficha Inbound Rules, haga clic en Add Rule. Configure una regla de entrada basada en Tabla 1.
Tabla 1 Reglas de grupos de seguridad Protocolo backend
Política
Protocolo & Puerto
Dirección IP de origen
HTTP o HTTPS
Permitir
Protocol: TCP
Port: el puerto utilizado por el servidor back-end y el puerto de comprobación de estado
Subred backend del balanceador de carga
TCP
Permitir
Protocol: TCP
Port: puerto de comprobación de estado
UDP
Permitir
Protocol: UDP e ICMP
Port: puerto de comprobación de estado
- Después de crear un balanceador de carga, no cambie la subred. Si se cambia la subred, las direcciones IP ocupadas por el balanceador de carga no se liberarán, y el tráfico de la subred de backend anterior aún debe permitirse a los servidores de backend.
- También es necesario permitir el tráfico de la nueva subred de backend a los servidores de backend.
- Haga clic en OK.
Configuración de reglas de ACL de red
Para controlar el tráfico dentro y fuera de una subred, puede asociar una ACL de red a la subred. Las reglas de ACL de red controlan el acceso a las subredes y agregan una capa adicional de defensa a las subredes.
La regla de ACL de red predeterminada deniega todo el tráfico entrante y saliente. Puede configurar una regla de entrada para permitir el tráfico desde la subred de backend del balanceador de carga a través del puerto del servidor de backend.
- Si el balanceador de carga está en la misma subred que los servidores backend, las reglas de ACL de red no tendrán efecto. En este caso, los servidores backend se considerarán sanos y podrán ser accedidos por los clientes.
- Si el balanceador de carga no está en la misma subred que los servidores backend, las reglas de ACL de red tendrán efecto. En este caso, los servidores backend se considerarán insalubres y no podrán ser accedidos por los clientes.
Las reglas de ACL de red configuradas para la subred de backend del balanceador de carga no restringirán el tráfico de los clientes al balanceador de carga. Si se configuran las reglas de ACL de red, los clientes pueden acceder directamente al balanceador de carga. Para controlar el acceso al balanceador de carga, configure el control de acceso para todos los oyentes agregados al balanceador de carga realizando las operaciones de Control de acceso.
- Inicie sesión en la consola de gestión.
- En la esquina superior izquierda de la página, haga clic en y seleccione la región y el proyecto deseados.
- Pase el cursor sobre en la esquina superior izquierda para mostrar Service List y elija Networking > Virtual Private Cloud.
- En el panel de navegación de la izquierda, elija Access Control > Network ACLs.
- En la lista de ACL de red, haga clic en el nombre del ACL de red para cambiar a la página que muestra sus detalles.
- En la ficha Inbound Rules o Outbound Rules, haga clic en Add Rule para agregar una regla de entrada o de salida.
- Action: Seleccione Allow.
- Type: Seleccione el mismo tipo que la subred backend del balanceador de carga.
- Protocol: El protocolo debe ser el mismo que el protocolo backend.
- Source: Configúrelo en la subred de backend del balanceador de carga.
- Source Port Range: Seleccione un rango de puertos.
- Destination: Ingrese una dirección de destino permitida en esta dirección. El valor predeterminado es 0.0.0.0/0, que indica que se permite el tráfico de todas las direcciones IP.
- Destination Port Range: Seleccione un rango de puertos.
- (Opcional) Description: Describa la regla de ACL de red.
- Haga clic en OK.