Настройка балансировщика нагрузки внутренней сети с экземпляром EC2 в частном VPC

Question

Я создал внутренний балансировщик сетевой нагрузки (NLB) для подключения к экземплярам EC2 в частной подсети. Я хочу ограничить доступ к экземплярам EC2 только из балансировщика сетевой нагрузки. Я использовал эти инструкции https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-register-targets.html#target-security-groups, но это не сработало.

По сути, я добавил IP-адрес сетевого интерфейса NLB в группу безопасности с разрешенным моим конкретным портом (например, 8080 10.4.2.9/32), но это не сработало. Когда я переключился на все разрешения (например: 8080 0.0.0.0/32), это сработало, но я не хочу, чтобы другие экземпляры имели доступ к экземпляру ec2.

Есть идеи, почему это не работает? Спасибо

Answer 1

Если вы используете балансировщик сетевой нагрузки, обновите группы безопасности для целевых экземпляров , поскольку у балансировщиков сетевой нагрузки нет связанных групп безопасности.

• Если вашим целевым типом является IP, добавьте правило в свою группу безопасности, чтобы разрешить трафик с вашего балансировщика нагрузки на целевой IP.

• Если ваш целевой типявляется экземпляром, добавьте правило в вашу группу безопасности, чтобы разрешить трафик от вашего балансировщика нагрузки и клиентов к целевому IP.

• Вы можете разрешить трафик в группе безопасности экземпляра EC2.Поскольку ваш экземпляр находится в частной подсети, для этого вам необходимо запустить балансировщик нагрузки в том же регионе, но в общедоступной подсети.

Сначала узнайте о вашем сценарии использования.

Наилучшеесценарии использования для Network Load Balancer:

• Когда вам нужно беспрепятственно поддерживать колючие или объемные входящие TCP-запросы.
• Когда вам необходимо поддерживать статический или эластичный IPaddress.
• Если вы используете контейнерные сервисы и / или хотите поддерживать более одного порта в экземпляре EC2.NLB особенно хорошо подходит для ECS (Amazon EC2 Container Service).

балансировка нагрузки группы безопасности

new-network-балансировка нагрузки без усилий масштабирование до миллионов запросов в секунду

что такое балансировка нагрузки сети

Answer 2

Для того, что вы пытаетесь достичь, NLB - это неправильный балансировщик нагрузки.

NLB - это балансировщик нагрузки уровня 4.Это означает, что IP-адрес, который вы видите (в экземпляре EC2), является IP-адресом клиента, а не IP-адресом балансировщика нагрузки.С NLB вы должны разрешить IP-адрес клиента в вашей группе безопасности.

Вы хотите, чтобы балансировщик нагрузки уровня 7 реализовал то, что вы хотите сделать (заблокировать доступ к вашим экземплярам EC2 другим системам в вашем VPC).Это означает ALB или классический ELB.