【Network Load Balancer】[考慮事項] クライアントのセキュリティグループを、ターゲットのセキュリティグループのソースとして使用することはできません

記事タイトルとURLをコピーする

はじめに

高橋 (ポインコ兄) です。最近は沼という料理をほぼ毎日食べています。
今回は NLB のターゲットのセキュリティグループ設定でちょっとハマったのでブログ化しました。

言いたいこと

ブログのタイトルにある通り...

「NLB でクライアントのセキュリティグループを、ターゲットのセキュリティグループのソースとして使用することはできません」

これが今回一番言いたいことです。

NLB のターゲット (EC2 インスタンス) セキュリティグループについて

NLB のターゲット (EC2 インスタンス) セキュリティグループについて、以下のように考慮事項と推奨ルールが定められています。 docs.aws.amazon.com

考慮事項

  • Network Load Balancer には関連付けられたセキュリティグループがありません。したがって、ターゲットのセキュリティグループは、トラフィックを許可するために IP アドレスを使用する必要があります。
  • クライアントのセキュリティグループを、ターゲットのセキュリティグループのソースとして使用することはできません。したがって、ターゲットのセキュリティグループは、トラフィックを許可するためにクライアントの IP アドレスを使用する必要があります。

クライアント IP の保存が有効な場合の推奨ルール (インバウンドルール)

ソース プロトコル ポート範囲 [Comment] (コメント)
クライアント CIDR target target Allow traffic from your application, your network, or the internet
VPC CIDR ヘルスチェック ヘルスチェック Allow health check traffic from the load balancer

クライアント IP の保存が無効な場合の推奨ルール (インバウンドルール)

ソース プロトコル ポート範囲 [Comment] (コメント)
VPC CIDR target target Allow traffic from the load balancer VPC †
VPC CIDR ヘルスチェック ヘルスチェック Allow health check traffic from the load balancer

つまりどういうことか

クライアント IP の保存が有効 / 無効に関わらず、セキュリティグループのソースにセキュリティグループを使うことはできない、ということです。
(指定することはできますがターゲットへのアクセスは許可されません)

ターゲットへのアクセスが許可される OK パターン

ターゲットへのアクセスが許可されない NG パターン

あとがき

「何事もちゃんと説明書を読むことが大事だな」と感じた兄でした。

それではまた、ごきげんよう。

高橋 悠佑 (ポインコ兄) (執筆記事一覧)

健康志向です