, , ,

Security Groups für den Network Loadbalancer

Der Network Loadbalancer (NLB) von AWS sorgte in der Vergangenheit häufig für Verwirrungen und langes Fehlersuchen. Ich erinnere mich noch gut, wie ich am Anfang meiner AWS Nutzung am Network Loadbalancer aufgrund der fehlenden Security Groups gescheitert bin.
Intuitiv habe ich erwartet, dass ich jeweils die nächste Station des Requests freigeben muss.

Also: Die Zielinstanz lässt den Zugriff des Loadbalancers zu (z.B. via Netzfreischaltung) und der Loadbalancer lässt den Zugriff des Endnutzers zu.

Doch: Damit eine Instanz über den Loadbalancer erreichbar wird, musste sie bisher das Netz des Anfragenstellers (im Schaubild als Figur dargestellt) in der Security Group freigeben.

Keine Frage aus diesem Fehler habe ich viel gelernt:

  1. Im Zweifel steht es in der AWS Dokumentation.
  2. Übertrage bekanntes Verhalten nicht auf andere Services.

Ich war hierbei keineswegs allein. Noch heute treffe ich in Meetings häufig auf Personen, die felsenfest behaupten, dass die Zielinstanzen nur das NLB-Netz freigeben müssen und dann funktioniere die Verbindung.

Ein Link auf die entsprechende Stelle in der Dokumentation bringt dann häufig Klarheit.

Dies hat nun aufgrund eines neuen Features ein Ende.

Network Loadbalancer ohne Security Group
Network Loadbalancer ohne Security Group

AWS hat jetzt eine neue Funktionalität für den NLB veröffentlicht. Neu aufgebaute NLBs können nun eigene Security Groups haben. Hierdurch können die Zielinstanzen nun das zuvor beschriebene “intuitive” Verhalten umsetzen. Dies ermöglicht eine verständlichere Sicherheitskonfiguration.

Die EC2 Instanzen erlauben also den Netzwerkverkehr vom NLB und nicht mehr vom Anfragensteller direkt.

Der NLB kann nun so konfiguriert werden, dass dieser dem Anfragensteller den Zugriff gewährt.

Network Loadbalancer mit Security Group
Network Loadbalancer mit Security Group

Wenn du Fragen zu diesem oder anderen neuen Features hast, zögere nicht mich direkt zu kontaktieren. Auch wenn du mir mitteilen möchtest, dass es keinen Sinn macht Port 22 über den NLB zu leiten, darfst du mir gerne schreiben.

Du möchtest mithilfe der Cloud durchstarten? Dann kann ich dir auf dreierlei Weise meine Unterstützung anbieten:
  1. Mein Well-Informed Newsletter erscheint alle zwei Wochen und hält dich auf dem neusten Stand.
  2. In einem AWS Well-Architected Review entfalten wir deine vollen Potenziale!
  3. Bei einem persönlichen Beratungsgespräch lösen wir deine Probleme.
Du benötigst noch mehr Informationen? Dann nimm gerne direkt Kontakt mit mir auf.


    Bitte lese dir unsere Datenschutzerklärung durch.

    Picture of Hendric Jabs

    Hendric Jabs

    Ich bin Wirtschaftsinformatiker (M. Sc.) und AWS Cloud Solutions Architect. Seit 2014 beschäftige ich mich leidenschaftlich mit Amazon Web Services und habe bereits seit 2015 einer Vielzahl von Kunden zu einer erfolgreichen Cloud Nutzung verholfen. Im Jahr 2021 habe ich für das Digital Career Institute den ersten AWS re/Start Kurs in Deutschland als leitender Dozent durchgeführt.
    LinkedIn
    XING
    Email