Группа безопасности для Application Load Balancer позади Network Load Balancer не работает

Question

У меня есть несколько веб-приложений с балансировщиком нагрузки приложений. Доступ к ним возможен только через VPN с разделенным туннелем. Проблема в том, что мы используем VPN-туннелирование для маршрутизации только трафика через туннель (имеется в виду определенные IP-адреса). Поскольку ALB не работает с EIP, мы должны поставить NLB перед ALB.

Проверяя файл журнала, мы видим, что ALB видит только частный IP-адрес NLB, поэтому группа безопасности, присоединенная к ALB, не работает.

Мой вопрос: как мы можем настроить ALB / NLB для ALB, чтобы увидеть IP-адрес запроса, чтобы группа безопасности, подключенная к ALB, могла работать?

Answer 1

Не уверен насчет ALB, но вы можете включить прокси-протокол в целевой группе NLB, поместить NGINX между NLB и ALB и отфильтровать трафик в NGINX.

Включить прокси-протокол для целевой группы NLB: https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html#proxy-protocol

Принятие протокола PROXY в nginx: https://docs.nginx.com/nginx/admin-guide/load-balancer/using-proxy-protocol/