亚马逊云科技中国(北京)和(宁夏)区域提供的Amazon Network Load Balancer(NLB)网络负载均衡器已支持安全组,让您能够筛选NLB可以接受并转发到应用程序的流量。借助安全组,您可以配置规则以帮助确保NLB仅接受来自可信IP地址的流量,并集中实施访问控制策略。这不仅可以提升应用程序的安全状况,同时还可以简化操作。
通过支持安全组,NLB提供了新的功能来帮助保护工作负载的安全。在此次功能发布后,即使在负载均衡器将IPv6流量转换为IPv4流量,或者目标位于对等VPC中时,云管理员和安全团队也可强制实施安全组入站规则。此外,借助安全组引用功能,应用程序拥有者还可以限制对资源的访问,从而确保客户端只能通过负载均衡器访问资源。这有助于防止由于直接客户端访问而导致的负载分配不平衡。
要开始使用,请使用ELB API或亚马逊云科技管理控制台创建包含安全组的新NLB。您可以在创建后更改附加到NLB的安全组,并使用Cloudwatch指标和VPC流日志捕获有关安全组规则所拒绝流量的详细信息。
如果您使用Kubernetes,则可以通过使用Amazon Load Balancer Controller 2.6.0或更高版本在NLB上启用安全组。通过使用该控制器启用NLB安全组,可以提高节点的安全性,因为可以通过引用NLB安全组来简化入站规则。此外,这还可以改进扩展能力,因为该控制器会保持每个集群的安全组规则数量恒定。