Comment attacher des instances backend avec des adresses IP privées à mon équilibreur de charge accessible sur Internet dans ELB ?

Date de la dernière mise à jour : 01/03/2021

J'ai un équilibreur de charge accessible sur Internet. Je souhaite y attacher des instances back-end Amazon Elastic Compute Cloud (Amazon EC2) situées dans un sous-réseau privé. Comment puis-je le faire en utilisant Elastic Load Balancing ?

Brève description

Pour attacher des instances Amazon EC2 situées dans un sous-réseau privé, créez des sous-réseaux publics dans les mêmes zones de disponibilité que les sous-réseaux privés utilisés par les instances backend. Associez ensuite les sous-réseaux publics à votre équilibreur de charge.

Résolution

Avant de commencer, notez la zone de disponibilité de chaque instance Amazon EC2 Linux ou Amazon EC2 Windows que vous attachez à votre équilibreur de charge.

Créer des sous-réseaux publics pour vos instances back-end

  1. Créez un sous-réseau public dans chaque zone de disponibilité où se trouvent vos instances back-end. Si vous avez plusieurs sous-réseaux privés dans la même zone de disponibilité, créez un seul sous-réseau public pour cette zone de disponibilité.
  2. Vérifiez que chaque sous-réseau public a un bloc CIDR avec un masque de bits d'au moins /27 (par exemple 10.0.0.0/27).
  3. Vérifiez que chaque sous-réseau possède au moins huit adresses IP libres.

Configurer votre équilibreur de charge

  1. Ouvrez la console Amazon EC2.
  2. Associez les sous-réseaux publics à votre équilibreur de charge (voir Application Load Balancer, Network Load Balancer ou Classic Load Balancer).
  3. Enregistrez les instances backend avec votre équilibreur de charge (voir Application Load Balancer, Network Load Balancer ou Classic Load Balancer).

Configurez les paramètres du groupe de sécurité et de la liste de contrôle d'accès (ACL) réseau de votre équilibreur de charge

Vérifiez les paramètres de groupe de sécurité recommandés pour les Application Load Balancer ou les Classic Load Balancer. Assurez-vous que :

  • Votre équilibreur de charge possède des ports d'écoute ouverts et des groupes de sécurité qui autorisent l'accès aux ports.
  • Le groupe de sécurité de votre instance autorise le trafic sur les ports d'écoute d'instance et les ports de vérification de l'état à partir de l'équilibreur de charge.
  • Le groupe de sécurité de l'équilibreur de charge autorise le trafic entrant à partir du client.
  • Le groupe de sécurité de l'équilibreur de charge autorise le trafic sortant vers les instances et le port de vérification de l'état.

Ajoutez également une règle au groupe de sécurité de l'instance pour autoriser le trafic du groupe de sécurité assigné vers l'équilibreur de charge. Par exemple :

Type Protocole Plage de ports Source
HTTP TCP 80 sg-1234567a

Ensuite, vérifiez les règles de l'ACL réseau recommandées pour votre équilibreur de charge. Ces recommandations s'appliquent à la fois aux équilibreurs de charge Application Load Balancer et Classic Load Balancer.

Si vous utilisez des Network Load Balancer, consultez Résolution des problèmes de votre Network Load Balancer et Groupes de sécurité cibles pour obtenir les détails de configuration. Confirmez que le groupe de sécurité de l'instance backend autorise le trafic vers le port du groupe cible à partir de l'un des éléments ci-dessous :

  • Adresses IP du client (si les cibles sont spécifiées par ID d'instance)
  • Nœuds d'équilibreur de charge (si les cibles sont spécifiées par adresse IP)