はじめに
高橋 (ポインコ兄) です。最近は沼という料理をほぼ毎日食べています。
今回は NLB のターゲットのセキュリティグループ設定でちょっとハマったのでブログ化しました。
言いたいこと
ブログのタイトルにある通り...
「NLB でクライアントのセキュリティグループを、ターゲットのセキュリティグループのソースとして使用することはできません」
これが今回一番言いたいことです。
NLB のターゲット (EC2 インスタンス) セキュリティグループについて
NLB のターゲット (EC2 インスタンス) セキュリティグループについて、以下のように考慮事項と推奨ルールが定められています。 docs.aws.amazon.com
考慮事項
- Network Load Balancer には関連付けられたセキュリティグループがありません。したがって、ターゲットのセキュリティグループは、トラフィックを許可するために IP アドレスを使用する必要があります。
- クライアントのセキュリティグループを、ターゲットのセキュリティグループのソースとして使用することはできません。したがって、ターゲットのセキュリティグループは、トラフィックを許可するためにクライアントの IP アドレスを使用する必要があります。
クライアント IP の保存が有効な場合の推奨ルール (インバウンドルール)
| ソース | プロトコル | ポート範囲 | [Comment] (コメント) |
|---|---|---|---|
| クライアント CIDR | target | target | Allow traffic from your application, your network, or the internet |
| VPC CIDR | ヘルスチェック | ヘルスチェック | Allow health check traffic from the load balancer |
クライアント IP の保存が無効な場合の推奨ルール (インバウンドルール)
| ソース | プロトコル | ポート範囲 | [Comment] (コメント) |
|---|---|---|---|
| VPC CIDR | target | target | Allow traffic from the load balancer VPC † |
| VPC CIDR | ヘルスチェック | ヘルスチェック | Allow health check traffic from the load balancer |
つまりどういうことか
クライアント IP の保存が有効 / 無効に関わらず、セキュリティグループのソースにセキュリティグループを使うことはできない、ということです。
(指定することはできますがターゲットへのアクセスは許可されません)
ターゲットへのアクセスが許可される OK パターン
ターゲットへのアクセスが許可されない NG パターン
あとがき
「何事もちゃんと説明書を読むことが大事だな」と感じた兄でした。
それではまた、ごきげんよう。
高橋 悠佑 (ポインコ兄) (執筆記事一覧)
健康志向です
