Security Groups für den Network Loadbalancer

Der Network Loadbalancer (NLB) von AWS sorgte in der Vergangenheit häufig für Verwirrungen und langes Fehlersuchen. Ich erinnere mich noch gut, wie ich am Anfang meiner AWS Nutzung am Network Loadbalancer aufgrund der fehlenden Security Groups gescheitert bin.
Intuitiv habe ich erwartet, dass ich jeweils die nächste Station des Requests freigeben muss.

Also: Die Zielinstanz lässt den Zugriff des Loadbalancers zu (z.B. via Netzfreischaltung) und der Loadbalancer lässt den Zugriff des Endnutzers zu.

Doch: Damit eine Instanz über den Loadbalancer erreichbar wird, musste sie bisher das Netz des Anfragenstellers (im Schaubild als Figur dargestellt) in der Security Group freigeben.

Keine Frage aus diesem Fehler habe ich viel gelernt:

  1. Im Zweifel steht es in der AWS Dokumentation.
  2. Übertrage bekanntes Verhalten nicht auf andere Services.

Ich war hierbei keineswegs allein. Noch heute treffe ich in Meetings häufig auf Personen, die felsenfest behaupten, dass die Zielinstanzen nur das NLB-Netz freigeben müssen und dann funktioniere die Verbindung.

Ein Link auf die entsprechende Stelle in der Dokumentation bringt dann häufig Klarheit.

Dies hat nun aufgrund eines neuen Features ein Ende.

Network Loadbalancer ohne Security Group
Network Loadbalancer ohne Security Group

AWS hat jetzt eine neue Funktionalität für den NLB veröffentlicht. Neu aufgebaute NLBs können nun eigene Security Groups haben. Hierdurch können die Zielinstanzen nun das zuvor beschriebene „intuitive“ Verhalten umsetzen. Dies ermöglicht eine verständlichere Sicherheitskonfiguration.

Die EC2 Instanzen erlauben also den Netzwerkverkehr vom NLB und nicht mehr vom Anfragensteller direkt.

Der NLB kann nun so konfiguriert werden, dass dieser dem Anfragensteller den Zugriff gewährt.

Network Loadbalancer mit Security Group
Network Loadbalancer mit Security Group

Wenn du Fragen zu diesem oder anderen neuen Features hast, zögere nicht mich direkt zu kontaktieren. Auch wenn du mir mitteilen möchtest, dass es keinen Sinn macht Port 22 über den NLB zu leiten, darfst du mir gerne schreiben.

Wann immer du soweit bist, dies sind die 4 Arten, wie ich dich unterstützen kann:

  1. Du hast eine Produktidee und benötigst einen technischen Rat? Gerne helfe ich dir, dein Produkt optimal zu betreiben.
  2. Ich verhelfe meinen Kunden zu einer erfolgreichen Cloud-Migration und -Optimierung. Wenn du Unterstützung benötigst, lass uns reden!
Share the Post:

Verwandte Beiträge

Werksstudent als Cloud-Engineer (m/w/d)

Bist du Student*in der (Wirtschafts-)Informatik oder eines verwandten Fachs und an herausfordernden IT-Projekten interessiert? Dann könnte eine Werkstudentenposition im Cloud-Bereich bei uns der perfekte Schritt sein. Du hilfst, Cloud-Infrastrukturkomponenten zu entwickeln und kannst deine Fähigkeiten in Terraform und AWS vertiefen. Wir bieten moderne Arbeitsmittel, flexible Arbeitszeiten und bis zu 6 Wochen Urlaub. Unser AWS Solutions Architect wird dein Mentor sein.

Read More

Verbessere deine Cloud-Infrastruktur!