本节介绍了 NSX Advanced Load Balancer 创建的默认安全组。
以下是添加到 NSX Advanced Load Balancer 创建的默认安全组中的规则:
数据规则 - 用于打开端口以与虚拟服务进行通信的规则。
管理规则 - 它用于 NSX Advanced Load Balancer Controller 到 SE 的通信。以下是管理通信所需的规则;
在端口 22 上启用 SSH。
为所有 ICMP-IPv4 数据包启用 ping。
隧道规则 - 自定义协议 EtherIP (97)、自定义协议 CPHB (73) 和自定义协议 63 (63)。
以下是适用于默认安全组的各种选项。NSX Advanced Load Balancer 创建的每个规则仅添加到其创建的安全组中。
ingress_access_mgmt
ingress_access_data
custom_securitygroups_mgmt
custom_securitygroups_data
管理接口的输入访问
下表列出了 ingress_access_mgmt 选项的行为和可能的值:
可能的值 |
行为 |
|---|---|
SG_INGRESS_ACCESS_NONE |
未设置管理规则 |
SG_INGRESS_ACCESS_ALL |
设置了管理规则,并且源 IP 地址为 0.0.0.0/0 |
SG_INGRESS_ACCESS_VPC |
设置了管理规则,并且源 IP 地址为 VPC CIDR |
可能的值 |
行为 |
|---|---|
SG_INGRESS_ACCESS_NONE |
未设置数据规则 |
SG_INGRESS_ACCESS_ALL |
设置了数据规则,并且源 IP 地址为 0.0.0.0/0 |
SG_INGRESS_ACCESS_VPC |
设置了数据规则,并且源 IP 地址为 VPC CIDR |
以下是 NSX Advanced Load Balancer 创建的默认安全组的限制:
为每个 SE 创建一个安全组,并且 AWS 仅允许每个帐户具有 500 个安全组。
所有数据和管理流量的源 IP 地址设置为 0.0.0.0 或 VPC CIDR。没有相应的控制权以仅允许或禁止特定的网络。
AWS 自动通过安全组允许所有出站流量。
NSX Advanced Load Balancer 支持自定义安全组选项,该选项允许客户创建自己的安全组。自定义安全组会附加到 SE 和默认安全组。如果正在使用自定义安全组,则默认安全组的用处不大。
