我该如何使用 VPC 对等访问内部负载均衡器?

上次更新时间:2020 年 2 月 20 日

我想要从 VPC B 中的实例连接到 VPC A 中的负载均衡器。我该如何使用 VPC 对等访问内部负载均衡器?

简短描述

要从 VPC B 访问 VPC A 中的内部负载均衡器:

  1. 使用 VPC 对等在 VPC A 和 VPC B 之间创建连接。
  2. 从源 VPC 为 VPC 对等启用 DNS 解析。
  3. 建立必要的路由、安全组规则和网络访问控制列表 (ACL) 规则以允许 VPC 之间的流量。

解决方法

通过使用 VPC 对等,您可以从其他 VPC 访问内部负载均衡器(包括 Classic Load Balancer、Application Load Balancer 和网络负载均衡器)。

  1. 使用 VPC 对等在您的 VPC 之间创建连接
    注意:VPC 对等可用于本地或跨账户 VPC 的区域内和区域间连接。
  2. 验证客户端子网路由表内有适用于负载均衡器子网 CIDR(或 VPC CIDR)的路由。该路由必须被引导至您的 VPC 的 VPC 对等 ID。同样地,验证负载均衡器子网的路由表内有客户端子网/VPC CIDR 的路由。
  3. 验证从托管负载均衡器的 VPC 启用适用于 VPC 对等的 DNS 解析。要检查以下各项:
    打开 Amazon Virtual Private Cloud (Amazon VPC) 控制台
    选择相应的 VPC 对等。
    选择编辑 DNS 设置
    确认 DNS 解析已被启用。确保从负载均衡器托管的 VPC 到客户端托管的 VPC 启用 DNS 解析。在适当时选择申请方 DNS 解析接受方 DNS 解析
  4. 从您的实例解析负载均衡器 DNS 名称并使用 nslookup <load-balancer DNS name> 对其进行验证。
  5. 验证安全组及网络 ACL 允许来自实例或特定实例 IP 的完整子网/VPC 的流量:
    在负载均衡器的安全组中,仅允许负载均衡器侦听器端口上的入站流量。
    对于子网的网络 ACL,允许来自负载均衡器侦听器端口实例 IP 或子网/VPC 的入口流量。在出口中,确保临时端口范围(1024 到 65535)允许将来自负载均衡器节点的流量返回至实例。
    注意:对您的安全组网络 ACL 进行必要修改。如果您未修改网络 ACL,默认规则将允许全部 (0.0.0.0/0) 流量。在这种情况下,您无需修改网络 ACL。
  6. 验证来自客户端实例的流量可以从源 VPC 传出:
    检查实例的安全组允许出站流量传至与子网或默认 (0.0.0.0/0) 关联的负载均衡器。
    对于子网的网络 ACL,验证出口中有规则允许负载均衡器侦听器端口上的负载均衡器子网的流量。在入口中,验证有规则允许流量传至响应流量临时端口上的实例 IP/子网。
    注意:如果未修改这些默认设置,您无需进行任何更改:
    安全组的默认出站规则 (0.0.0.0/0)
    适用于实例子网网络 ACL 的默认“允许全部”规则

这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?