我如何使用 VPC 对等连接访问内部负载均衡器?

上次更新日期:2022 年 7 月 25 日

我想要从 VPC B 中的实例连接到 VPC A 中的负载均衡器。我该如何使用 VPC 对等连接访问内部负载均衡器?

简短描述

要从 VPC B 访问 VPC A 中的内部负载均衡器:

  1. 使用 VPC 对等连接在 VPC A 和 VPC B 之间创建连接。
  2. 建立必要的路由、安全组规则和网络访问控制列表 (ACL) 规则以允许 VPC 之间的流量。

解决方法

通过使用 VPC 对等,您可以从其他 VPC 访问内部负载均衡器(包括 Classic Load Balancer、Application Load Balancer 和网络负载均衡器)。

  1. 使用 VPC 对等连接在您的 VPC 之间创建连接
    注意:VPC 对等连接可用于本地或跨账户 VPC 的区域内和区域间连接。
  2. 确认客户端子网路由表内有适用于负载均衡器子网 CIDR(或 VPC CIDR)的路由。该路由必须被引导至您的 VPC 的 VPC 对等 ID。同样地,确认负载均衡器子网的路由表内有客户端子网/VPC CIDR 的路由。
  3. 从您的实例解析负载均衡器 DNS 名称并使用 nslookup 对其进行验证。
  4. 如果您使用的是 Classic Load Balancer 或 Application Load Balancer:确认安全组及网络 ACL 允许来自实例或特定实例 IP 的完整子网/VPC 的流量:
    在负载均衡器的安全组中,仅允许负载均衡器侦听器端口上的入站流量。
    对于子网的网络 ACL,允许来自负载均衡器侦听器端口实例 IP 或子网/VPC 的入口流量。在出口中,确保 Ephemeral port range(临时端口范围)(1024 到 65535)允许将来自负载均衡器节点的流量返回至实例。
    -或者-
    如果您使用的是 Network Load Balancer,请确保目标实例的安全组中允许流量
    注意:根据需要修改您的安全组网络 ACL。如果您未修改网络 ACL,默认规则将允许全部 (0.0.0.0/0) 流量。在这种情况下,您无需修改网络 ACL。但是,允许特定 CIDR 范围之间的流量是 AWS 安全最佳实践。
  5. 检查实例的安全组允许出站流量传至与子网或默认 (0.0.0.0/0) 关联的负载均衡器。
    对于子网的网络 ACL,验证出口中有规则允许负载均衡器侦听器端口上的负载均衡器子网的流量。在入口中,确认有规则允许流量传至响应流量的临时端口上的实例 IP/子网。
    注意:如果尚未修改这些默认设置,则无需对安全组的默认出站规则 (0.0.0.0/0) 或适用于实例子网网络 ACL 的默认“允许全部”规则进行任何更改。但是,允许特定 CIDR 范围之间的流量是 AWS 安全最佳实践。

这篇文章对您有帮助吗?


您是否需要账单或技术支持?