Security Groups für den Network Loadbalancer

Der Network Loadbalancer (NLB) von AWS sorgte in der Vergangenheit häufig für Verwirrungen und langes Fehlersuchen. Ich erinnere mich noch gut, wie ich am Anfang meiner AWS Nutzung am Network Loadbalancer aufgrund der fehlenden Security Groups gescheitert bin.
Intuitiv habe ich erwartet, dass ich jeweils die nächste Station des Requests freigeben muss.

Also: Die Zielinstanz lässt den Zugriff des Loadbalancers zu (z.B. via Netzfreischaltung) und der Loadbalancer lässt den Zugriff des Endnutzers zu.

Doch: Damit eine Instanz über den Loadbalancer erreichbar wird, musste sie bisher das Netz des Anfragenstellers (im Schaubild als Figur dargestellt) in der Security Group freigeben.

Keine Frage aus diesem Fehler habe ich viel gelernt:

  1. Im Zweifel steht es in der AWS Dokumentation.
  2. Übertrage bekanntes Verhalten nicht auf andere Services.

Ich war hierbei keineswegs allein. Noch heute treffe ich in Meetings häufig auf Personen, die felsenfest behaupten, dass die Zielinstanzen nur das NLB-Netz freigeben müssen und dann funktioniere die Verbindung.

Ein Link auf die entsprechende Stelle in der Dokumentation bringt dann häufig Klarheit.

Dies hat nun aufgrund eines neuen Features ein Ende.

Network Loadbalancer ohne Security Group
Network Loadbalancer ohne Security Group

AWS hat jetzt eine neue Funktionalität für den NLB veröffentlicht. Neu aufgebaute NLBs können nun eigene Security Groups haben. Hierdurch können die Zielinstanzen nun das zuvor beschriebene „intuitive“ Verhalten umsetzen. Dies ermöglicht eine verständlichere Sicherheitskonfiguration.

Die EC2 Instanzen erlauben also den Netzwerkverkehr vom NLB und nicht mehr vom Anfragensteller direkt.

Der NLB kann nun so konfiguriert werden, dass dieser dem Anfragensteller den Zugriff gewährt.

Network Loadbalancer mit Security Group
Network Loadbalancer mit Security Group

Wenn du Fragen zu diesem oder anderen neuen Features hast, zögere nicht mich direkt zu kontaktieren. Auch wenn du mir mitteilen möchtest, dass es keinen Sinn macht Port 22 über den NLB zu leiten, darfst du mir gerne schreiben.

Wann immer du so weit bist, dies sind die Arten, wie wir dich unterstützen können:

  1. Führe unseren kostenlosen Cloud-Reifegrad Self-Check durch und erhalte eine Einschätzung deiner aktuellen Cloud-Architektur.
  2. Wir verhelfen unseren Kunden zu einer erfolgreichen Cloud-Migration und -Optimierung. Wenn du Unterstützung benötigst, lass uns reden!
  3. Du möchtest wissen, wie es um deine Cloud-Infrastruktur steht? Dann ist ein Architektur-Review für dich interessant!
Teile diesen Beitrag:

Verwandte Beiträge