如何将使用私有 IP 地址的后端实例附加到 ELB 中面向互联网的负载均衡器?
我有一个面向互联网的负载均衡器。我想附加位于私有子网中的后端 Amazon Elastic Compute Cloud(Amazon EC2)实例。
简短描述
要附加位于私有子网中的 Amazon EC2 实例,请先创建公有子网。这些公有子网所在的可用区必须与后端实例使用的私有子网相同。然后,将该公有子网与您的负载均衡器关联。
**注意:**您的负载均衡器与其目标建立私密连接。如需从互联网下载软件或安全补丁,请对目标实例的路由表](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)使用 NAT 网关规则[,允许互联网接入。
解决方法
开始之前,请记下您的负载均衡器附加的每个 Amazon EC2 Linux 或 Amazon EC2 Windows 实例的可用区。
为您的后端实例创建公有子网
1. 在您的后端实例所在的每个可用区创建公有子网。如果有多个私有子网在同一个可用区,则为该可用区仅创建一个公有子网。
2. 确认每个公有子网都有一个位掩码至少为 /27(例如 10.0.0.0/27)的 CIDR 块。
3. 确认每个子网至少有八个空闲 IP 地址。
示例: 公有子网(应用程序负载均衡器子网)需要位掩码至少为 /27 的 CIDR 块:
-
AZ A 中的公有子网: 10.0.0.0/24
AZ A 中的私有子网: 10.1.0.0/24 -
AZ B 中的公有子网: 10.2.0.0/24
AZ B 中的私有子网: 10.3.0.0/24
配置负载均衡器
1. 打开 Amazon EC2 控制台。
2. 将公有子网与负载均衡器关联(请参阅应用程序负载均衡器、网络负载均衡器或经典负载均衡器)。
3. 在您的负载均衡器中注册后端实例(请参阅应用程序负载均衡器、网络负载均衡器或经典负载均衡器)。
配置负载均衡器的安全组和网络访问控制列表(ACL)设置
查看应用程序负载均衡器或经典负载均衡器的推荐安全组设置。请确保:
- 您的负载均衡器带有开放式侦听器端口和允许接入端口的安全组。
- 您的实例的安全组允许来自负载均衡器的实例侦听器端口和运行状况检查端口上的流量。
- 负载均衡器安全组允许来自客户端的入站流量。
- 负载均衡器安全组允许流向实例和运行状况检查端口的出站流量。
对实例安全组添加规则,允许来自分配给负载均衡器的安全组的流量。例如,您满足以下要求:
- 负载均衡器安全组是 sg-1234567a
- 入口规则是 HTTP TCP 80 0.0.0.0/0
- 实例安全组是 sg-a7654321
- 入口规则是 HTTP TCP 80 sg-1234567a
在这种情况下,您的规则与以下规则相似:
| 类型 | 协议 | 端口范围 | 源 |
| HTTP | TCP | 80 | sg-1234567a |
然后查看您的负载均衡器的推荐网络 ACL 规则。这些推荐适用于应用程序负载均衡器和经典负载均衡器。
如果您要使用网络负载均衡器,请查看 Troubleshoot your Network Load Balancer 和 Target security groups,了解配置详情。确认后端实例安全组允许以下任一来源的流量流向目标组端口:
- 客户端 IP 地址(如果目标由实例 ID 指定)
- 负载均衡器节点(如果目标由 IP 地址指定)
相关信息
相关内容
AWS 官方已更新 10 个月前- AWS 官方已更新 9 个月前
- AWS 官方已更新 1 年前
- AWS 官方已更新 3 年前
