Comment puis-je associer des instances backend dotées d’adresses IP privées à un équilibreur de charge accessible sur Internet dans ELB ?

Lecture de 4 minute(s)
0

J'utilise un équilibreur de charge accessible sur Internet. Je souhaite y associer des instances backend Amazon Elastic Compute Cloud (Amazon EC2) situées dans un sous-réseau privé.

Brève description

Pour associer des instances Amazon EC2 situées dans un sous-réseau privé, créez d'abord des sous-réseaux publics. Ces sous-réseaux publics doivent se trouver dans les mêmes zones de disponibilité que les sous-réseaux privés utilisés par les instances backend. Associez ensuite les sous-réseaux publics à l’équilibreur de charge.

Remarque : l’équilibreur de charge établit une connexion privée avec sa cible. Pour télécharger des logiciels ou des correctifs de sécurité depuis Internet, utilisez une règle de passerelle NAT dans la table de routage de l'instance cible pour autoriser l'accès à Internet.

Résolution

Avant de commencer, notez la zone de disponibilité de chaque instance Amazon EC2 Linux ou Amazon EC2 Windows que vous associez à l’équilibreur de charge.

Création de sous-réseaux publics pour les instances backend

1.    Créez un sous-réseau public dans chaque zone de disponibilité dans laquelle se trouvent les instances backend. Si plusieurs sous-réseaux privés se trouvent dans la même zone de disponibilité, créez un seul sous-réseau public pour cette zone de disponibilité.

2.    Vérifiez que chaque sous-réseau public possède un bloc CIDR avec un masque de bits d'au moins /27 (par exemple, 10.0.0.0/27).

3.    Vérifiez que chaque sous-réseau dispose d'au moins huit adresses IP libres.

Exemple : Le sous-réseau public (sous-réseau de l'Application Load Balancer) a besoin d'un bloc CIDR avec un masque de bits d'au moins /27 :

  • Sous-réseau public en AZ A : 10.0.0.0/24
    Sous-réseau privé en AZ A : 10.1.0.0/24

  • Sous-réseau public en AZ B : 10.2.0.0/24
    Sous-réseau privé en AZ B : 10.3.0.0/24

Configuration de l’équilibreur de charge

1.    Ouvrez la console Amazon EC2.

2.    Associez les sous-réseaux publics à l’équilibreur de charge (voir Application Load Balancer, Network Load Balancer ou Classic Load Balancer).

3.    Enregistrez les instances backend auprès de l’équilibreur de charge (voir Application Load Balancer, Network Load Balancer ou Classic Load Balancer).

Configuration des groupes de sécurité et des listes de contrôle d'accès au réseau (ACL) de l'équilibreur de charge

Consultez les paramètres de groupe de sécurité recommandés pour Application Load Balancer ou Classic Load Balancer. Assurez-vous que les conditions suivantes sont respectées :

  • Les ports d’écoute de l’équilibreur de charge sont ouverts et les groupes de sécurité autorisent l'accès aux ports.
  • Le groupe de sécurité de l’instance autorise le trafic sur les ports d'écoute de l'instance et les ports de surveillance de l’état de l'équilibreur de charge.
  • Le groupe de sécurité de l'équilibreur de charge autorise le trafic entrant depuis le client.
  • Le groupe de sécurité de l'équilibreur de charge autorise le trafic sortant vers les instances et le port de surveillance de l'état.

Ajoutez une règle sur le groupe de sécurité de l'instance pour autoriser le trafic provenant du groupe de sécurité affecté à l'équilibreur de charge. Par exemple, vous disposez des éléments suivants :

  • Le groupe de sécurité de l’équilibreur de charge est sg-1234567a.
  • La règle d'entrée est HTTP TCP 80 0.0.0.0/0.
  • Le groupe de sécurité de l’instance est sg-a7654321.
  • La règle d'entrée est HTTP TCP 80 sg-1234567a.

Dans ce cas, votre règle ressemble à ce qui suit :

TypeProtocolePlage de portsSource
HTTPTCP80sg-1234567a

Passez ensuite en revue les règles ACL réseau recommandées de l’équilibreur de charge. Ces recommandations s'appliquent à la fois aux équilibreurs de charge d'application et aux équilibreurs de charge classiques.

Si vous utilisez des équilibreurs Network Load Balancers, consultez les pages Résolution des problèmes liés aux équilibreurs Network Load Balancer et Groupes de sécurité cibles pour obtenir des détails de configuration. Vérifiez que le groupe de sécurité de l'instance backend autorise le trafic vers le port du groupe cible depuis l'une des sources suivantes :

  • Adresses IP client (si les cibles sont spécifiées par l'ID d'instance)
  • Nœuds d'équilibrage de charge (si les cibles sont spécifiées par l’adresse IP)

Informations connexes

Fonctionnement du service Elastic Load Balancing

Groupes de sécurité Amazon EC2 pour les instances Linux

Groupes de sécurité Amazon EC2 pour les instances Windows

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an