Интеграция соединения Api gateway VP C с компьютером EC2 через NLB не работает из-за проблемы группы безопасности

Question

У меня есть служба, работающая на порте 8080 компьютера EC2 в частном су bnet. Мой план состоит в том, чтобы установить sh VpcLink на частную конечную точку, используя балансировщик сетевой нагрузки. Теперь балансировщик сетевой нагрузки не может связать собственную группу безопасности, вместо этого здесь будет действовать целевая группа безопасности (в данном случае группа безопасности EC2, где работает моя служба). Я немного растерялся из-за того, как выглядит группа безопасности машины ec2. Мне нужно добавить пользовательское правило TCP, которое позволит traffi c на порт 8080, но я не понимаю, какой диапазон IP-адресов я могу указать в источнике. У шлюза API нет IP. Также говорится, что

Recommended Rules
Inbound Source      Port Range        Comment
Client IP addresses instance listener Allow traffic from clients on the instance listener port

VPC CIDR            health check      Allow traffic from the load balancer on the health check port

Answer 1

На основе комментариев и документов :

Балансировщики сетевой нагрузки не имеют связанных групп безопасности. Поэтому группы безопасности для ваших целей должны использовать IP-адреса, чтобы разрешить трафик c от балансировщика нагрузки .

Если вы регистрируете цели по IP-адресу и не хотите предоставлять доступ ко всему CIDR VP C, вы можете предоставить доступ к частным IP-адресам, используемым узлами балансировки нагрузки .

Таким образом, для NLB вы либо используете диапазон CIDR su bnet, где NLB. Или, чтобы быть более строгим, вы используете частные адреса NLB. Для IP-адресов вы не можете получить их из CloudFormation. Пришлось бы написать собственные ресурсы в CloudFormation для получения IP-адресов от NLB. В качестве компромисса вы можете поместить свой NLB в выделенный su bnet или тот же, что и экземпляры, и использовать его диапазон CIDR.