Amazonのロードバランサーには、ping
とtraceroute
の両方のICMPパケットを飲み込むネットワークセキュリティポリシーがあります。セキュリティグループAmazon-elb/Amazon-elb-sg
。個人的には、これらのツールは問題の診断に非常に役立つので、自分のサービスで使用できるようにしたいと思っています。ロードバランサは、これらのリクエストに応答するか転送するのが望ましいです。
ELBのセキュリティグループ設定を変更する方法はありますか?または、ELBへのIP接続を確認する他の方法は?
更新
明確にするために、AWSコンソールでは、新しく作成されたELBにSGを設定する方法も、既存のELBのSGを変更する方法もありません。
これは VPCで可能です ですが、在庫EC2にはありません。
はい、これはクラシックロードバランサーとアプリケーションロードバランサーで機能します。セキュリティグループの設定に移動し、ELBに割り当てられているトラフィックで着信ICMPトラフィックを許可します。セキュリティグループは、ELBまたはEC2インスタンスに割り当てられているかどうかにかかわらず、同じように機能します。
私はテストして確認しました:
[jjbegin@bane ~]$ ping elb01-2026631704.us-east-1.elb.amazonaws.com
PING elb01-2026631704.us-east-1.elb.amazonaws.com (107.23.23.138) 56(84) bytes of data.
64 bytes from ec2-107-23-23-138.compute-1.amazonaws.com (107.23.23.138): icmp_seq=1 ttl=51 time=36.2 ms
64 bytes from ec2-107-23-23-138.compute-1.amazonaws.com (107.23.23.138): icmp_seq=2 ttl=51 time=35.9 ms
^C
--- elb01-2026631704.us-east-1.elb.amazonaws.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1473ms
rtt min/avg/max/mdev = 35.985/36.121/36.258/0.233 ms
[jjbegin@bane ~]$
注:これは、ネットワークロードバランサー(NLB)では機能しません。それらにはセキュリティグループがなく、タイプ3(宛先到達不能)を除くすべてのICMPパケットは「意図しないトラフィック」と見なされ、どのターゲットにも転送されません。 ソース