LBaaSバックエンド・サーバーのセキュリティ
パブリックLBの場合、パブリックLBのトラフィックのみを受け入れるようにバックエンド・サーバーのVCN NSGまたはセキュリティ・リストを構成する必要があります。 バックエンド・サーバー・サブネットで使用されるセキュリティ・リストを更新して、LBサブネットからのイングレス・トラフィックを許可できます。
たとえば、LBがサブネット10.0.4.0/24にあり、webサーバーのトラフィックのバランシングを行っている場合、TCPプロトコル、すべてのソース・ポート、および宛先ポート80への送信元IPアドレス10.0.4.0/24からのトラフィックを許可するステートフル・イングレス・ルールを追加する必要があります。 この新しいルールでは、LBサブネットからのイングレス・トラフィックが許可されます。
VCNサブネット・セキュリティ・リスト(使用する場合はNSG)はNSGに関連付けることができ、LB、リスナーおよびバックエンドの作成後に更新する必要があります。 通常、ロード・バランサはバックエンド・サーバーとは異なるサブネットに作成されます。 たとえば、パブリック・サブネットで作成されたパブリックLBは、プライベート・サブネット内のバックエンド・サーバーにトラフィックを転送します。
ただし(推奨されませんが)、LBはバックエンド・サーバーと同じサブネットに作成できます。 どちらの場合も、LBおよびバックエンド・サーバーを含むすべてのサブネットのセキュリティ・リストを更新する必要があります。
- Subnet1上のバックエンド・サーバーへのエグレス・トラフィックを許可
-
Subnet2上のバックエンド・サーバーへのエグレス・トラフィックを許可
- ソース・タイプ: CIDR
- ソースCIDR: 0.0.0.0/0
- IPプロトコル: TCP
- 宛先ポート範囲: 80 (リスナー・ポート)
LBがサブネット10.0.4.0/24にある場合、ロード・バランサ・サブネットからのイングレス・トラフィックを許可するには、バックエンド・サーバー・サブネットで使用されるセキュリティ・リストに対するステートフル・ルール更新が必要です:
- ソース・タイプ: CIDR
- ソースCIDR: 10.0.4.0/24
- IPプロトコル: TCP
- 宛先ポート範囲: 80 (リスナー・ポート)
この新しいステートフル・イングレス・ルールでは、TCPトラフィックがバックエンド・サーバーにアクセスできるようになります。 国家的性質はレスポンスを許可します。
最後に、すべてのエグレス・ルールを削除します。 バックエンド・サーバーにエグレス・ルールが存在することはできません。