Не удается подключиться к интернет-NLB, перенаправляя трафик в частный экземпляр

Question

Я настроил облако со следующей конфигурацией

1. VPC с публичной и частной подсетями в двух зонах доступности.В общедоступной подсети есть интернет-шлюз, а в частной подсети настроен шлюз NAT
2. Балансировщик сетевой нагрузки с выходом в Интернет, позволяющий настраивать TCP-трафик в обеих зонах доступности
3. Целевая группа для пересылки трафика из нагрузкибалансировщик
4. Экземпляр EC2 в частной подсети, настроенный с прослушиванием haproxy на порту 80. Его группа безопасности настроена на прием трафика TCP через порт 80 из обеих подсетей, в которых настроен NLB
5. Добавлено этоэкземпляр для целевой группы имеет статус исправен

Когда я пытаюсь подключиться к DNS NLB, он выдаёт мне «Время ожидания подключения» ошибка,Я ожидаю, что, когда я нажму на NLB DNS, он должен перенаправить меня в частный экземпляр.Я проверил много документов AWS, таких как ссылка , но все еще не могу найти решение этой проблемы.Пожалуйста, не стесняйтесь спрашивать дополнительную информацию, если этого недостаточно.

Answer 1

Группа безопасности настроена на прием трафика TCP через порт 80 из обеих подсетей, в которых настроен NLB

Когда цели регистрируются по идентификатору экземпляра, группе безопасности для экземпляров за выходящим в Интернет NLB необходимо разрешить трафик с 0.0.0.0/0 - или с любым диапазоном общедоступных IP-адресов для доступа к ним через балансировщик - - не только подсети балансировщика (которые необходимы для проверки работоспособности).

Если ваш целевой тип является экземпляром, добавьте правило в свою группу безопасности, чтобы разрешить трафик от вашего балансировщика нагрузки и клиентов к целевому IP-адресу.

https://aws.amazon.com/premiumsupport/knowledge-center/security-group-load-balancer/

В отличие от балансировщиков ALB и Classic, трафик NLB имеет адрес источника внешнего клиента, когда цели настроены с помощью экземпляра ID-экземпляра, и это адрес, с которым сопоставляется группа безопасности.