如何將安全群組連接至 Elastic Load Balancing 負載平衡器？

解決方法

如果您使用的是 Classic Load Balancer，請參閱使用主控台管理安全群組或使用 AWS Command Line Interface (AWS CLI) 管理安全群組。

注意： 如果您在執行 AWS CLI 命令時收到錯誤訊息，請參閱 AWS CLI 錯誤疑難排解。此外，請確定您使用的是最新的 AWS CLI 版本。

如果您使用的是 Application Load Balancer，請參閱 Application Load Balancer 的安全群組。

如果您使用的是 Network Load Balancer，則可在建立 Network Load Balancer 時關聯安全群組。

如果您的目標類型是 IP 地址，系統會關閉用戶端 IP 保留設定。目標會將負載平衡器的私有 IP 地址視為運作狀態檢查和使用者流量的來源 IP 地址。最佳做法是將負載平衡器的私有 IP 地址或安全群組列入目標安全群組的允許清單。

注意： 檢閱您的用戶端 IP 保留設定和目標安全群組。如果設定已關閉，且目標將負載平衡器的私有 IP 地址或安全群組列入允許清單，則所有傳入流量都可存取您的服務。如果您的服務僅限特定 CIDR 範圍存取，請使用 Network Load Balancer。請務必建立具有安全群組的負載平衡器，並且只允許所需用戶端的 CIDR。

如果您的目標類型是執行個體，且群組通訊協定為 TCP/TLS/UDP/TCP_UDP，則系統預設會保留用戶端 IP 地址。如果您建立的 Network Load Balancer 沒有安全群組，則最佳做法是將用戶端 IP 地址列入目標安全群組的允許清單。若使用具有安全群組的 Network Load Balancer，您可以在負載平衡器的安全群組中控制用戶端存取。

若要變更 TCP/TLS 目標群組的預設用戶端 IP 保留設定，請設定 preserve_client_ip.enabled 目標群組屬性。您無法變更 UDP/TCP_UDP 通訊協定目標群組的行為。該行為會一直保持啟用。

注意： 請為每個 Classic 或 Application Load Balancer 關聯至少一個安全群組。安全群組必須允許負載平衡器和關聯後端執行個體間的連線。若為 Network Load Balancer，則在建立負載平衡器時不需要選取安全群組。然而，若您建立沒有安全群組的 Network Load Balancer，則無法於之後關聯安全群組。

相關資訊

監控 Classic Load Balancer

監控 Application Load Balancer