Глобальная схема содержит 2 общедоступные и 2 частные сети в разных АЗ.Кроме того, он содержит NLB (внутренний) с балансировкой между зонами в двух частных AZ.
NLB имеет 2 частных ip (10.0.20.151/24, 10.0.21.188/24) в каждой зоне, и DNS правильно разрешает этот ips.NLB предоставляет порт 80 целевой группе с одним экземпляром EC2 в AZ1 (10.0.20.0/24).Кроме того, эта схема содержит дополнительные службы в разных AZ.
Когда одна служба из AZ2 (10.0.21.0/24) пытается получить доступ к NLB: 80, она выполняет 2 ips (DNS разрешает 2 ip вразные AZ) и он может получить доступ.
Запрос из экземпляра в AZ2:
# telnet 10.0.20.151 80
Попытка 10.0.20.151 ...
Подключение к 10.0.20.151.
Escapeсимвол '^]'.
# telnet 10.0.21.188 80
Попытка 10.0.21.188 ...
Подключено к 10.0.21.188.
Экранирующий символ - '^]'.
Но когда другой сервис из AZ1 (10.0.20.0/24) пытается получить доступ к NLB: 80, он может получить доступ только к ip из той же сети и не может получить доступ к ip из AZ2.
Запрос из экземпляра в AZ1:
# telnet 10.0.20.151 80
Попытка 10.0.20.151 ...
Подключение к 10.0.20.151.
Escapeсимвол '^]'.
# telnet 10.0.21.188 80
Попытка 10.0.21.188 ...
Вопрос.Почему экземпляр из AZ2 может получить доступ к NLB: 80 через 2 ip, а другой экземпляр из AZ1 не может получить доступ через 1 ip к AZ2?