Comment puis-je accéder à un équilibreur de charge interne à l'aide de l'appairage de VPC ?

Date de la dernière mise à jour : 20/02/2020

Je souhaite me connecter à un équilibreur de charge dans le VPC A à partir de mon instance dans le VPC B. Comment puis-je accéder à un équilibreur de charge interne à l'aide de l'appairage de VPC ?

Brève description

Pour accéder à un équilibreur de charge interne dans le VPC A à partir du VPC B :

  1. Établissez une connectivité entre le VPC A et le VPC B à l'aide de l'appairage de VPC.
  2. Activez la résolution DNS à partir du VPC source pour l'appairage de VPC.
  3. Établissez les routes, les règles de groupe de sécurité et les règles de liste de contrôle d'accès (ACL) réseau nécessaires pour autoriser le trafic entre les VPC.

Solution

Grâce à l'appairage de VPC, vous pouvez accéder aux équilibreurs de charge internes (y compris les Classic Load Balancers, les équilibreurs de charge d'application et les Network Load Balancers) à partir d'un autre VPC.

  1. Établissez une connectivité entre vos VPC à l'aide de l'appairage de VPC.
    Remarque : l'appairage de VPC est disponible pour la connectivité intra-région et inter-région pour les VPC locaux ou entre comptes.
  2. Vérifiez qu'une route pour le CIDR des sous-réseaux de l'équilibreur de charge (ou CIDR VPC) existe dans la table de routage du sous-réseau client. La route doit être dirigée vers l'ID d'appairage de VPC de vos VPC. De même, vérifiez que la route du sous-réseau client/CIDR VPC existe dans la table de routage des sous-réseaux de l'équilibreur de charge.
  3. Vérifiez que la résolution DNS pour l'appairage de VPC est activée à partir du VPC qui héberge l'équilibreur de charge. Pour ce faire :
    Ouvrez la console Amazon Virtual Private Cloud (Amazon VPC).
    Sélectionnez l'appairage de VPC correspondant.
    Choisissez Edit DNS Settings (Modifier les paramètres DNS).
    Vérifiez que la résolution DNS est activée. Veillez à activer la résolution DNS du VPC hébergé par équilibreur de charge vers le VPC hébergé par le client. Sélectionnez Requester DNS resolution (Résolution DNS du demandeur) ou Accepter DNS resolution (Résolution DNS de l'accepteur), selon le cas.
  4. Résolvez le nom DNS de l'équilibreur de charge à partir de votre instance et utilisez nslookup <nom DNS équilibreur de charge> pour le vérifier.
  5. Vérifiez que le groupe de sécurité et la liste ACL réseau autorisent le trafic à partir du sous-réseau/VPC complet de l'instance ou de l'adresse IP de l'instance spécifique :
    Dans le groupe de sécurité de l'équilibreur de charge, autorisez uniquement le trafic entrant sur le port d'écoute de l'équilibreur de charge.
    Pour la liste ACL réseau du sous-réseau, autorisez le trafic entrant à partir de l'adresse IP de l'instance ou du sous-réseau/VPC pour le port d'écoute de l'équilibreur de charge. En sortie, assurez-vous que la plage de ports éphémères (1024 à 65535) autorise le trafic de retour des nœuds de l'équilibreur de charge vers l'instance.
    Remarque : modifiez vos groupes de sécurité ou vos listes ACL réseau, si nécessaire. Si vous n'avez pas modifié les listes ACL réseau, une règle par défaut autorise tout le trafic (0.0.0.0/0). Dans ce cas, vous n'avez pas besoin de modifier les listes ACL réseau.
  6. Vérifiez que le trafic provenant de l'instance client est autorisé à sortir du VPC source :
    Vérifiez que le groupe de sécurité de l'instance autorise le trafic sortant vers l'équilibreur de charge associé aux sous-réseaux ou par défaut (0.0.0.0/0).
    Pour la liste ACL réseau du sous-réseau, vérifiez qu'il existe une règle de sortie autorisant le trafic pour les sous-réseaux de l'équilibreur de charge sur le port d'écoute de l'équilibreur de charge. En entrée, vérifiez qu'il existe une règle autorisant le trafic vers l'adresse IP/le sous-réseau de l'instance sur les ports éphémères pour le trafic de réponse.
    Remarque : si vous n'avez pas changé ces paramètres par défaut, vous n'avez pas besoin d'apporter de modifications :
    Règle sortante par défaut (0.0.0.0/0) pour le groupe de sécurité
    Règle ALLOW ALL par défaut pour la liste ACL réseau du sous-réseau avec l'instance

Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d’aide ?