Como anexar instâncias de back-end com endereços IP privados ao meu balanceador de carga voltado para a Internet no ELB?

4 minuto de leitura

Tenho um balanceador de carga voltado para a internet. Quero anexar instâncias de back-end do Amazon Elastic Compute Cloud (Amazon EC2) localizadas em uma sub-rede privada.

Breve descrição

Para anexar instâncias do Amazon EC2 que estão localizadas em uma sub-rede privada, primeiro crie sub-redes públicas. Essas sub-redes públicas devem estar nas mesmas zonas de disponibilidade das sub-redes privadas usadas pelas instâncias de back-end. Em seguida, associe as sub-redes públicas ao seu balanceador de carga.

Observação: seu balanceador de carga estabelece uma conexão privada com o destino. Para baixar softwares ou patches de segurança da Internet, use uma regra de gateway NAT na tabela de rotas da instância de destino para permitir o acesso à Internet.

Resolução

Antes de começar, anote a zona de disponibilidade de cada instância Linux do Amazon EC2 ou Windows do Amazon EC2 que você está anexando ao seu balanceador de carga.

Criar sub-redes públicas para suas instâncias de back-end

1. Crie uma sub-rede pública em cada zona de disponibilidade em que suas instâncias de back-end estão localizadas. Se você tiver mais de uma sub-rede privada na mesma zona de disponibilidade, crie somente uma sub-rede pública para essa zona de disponibilidade.

2. Confirme se cada sub-rede pública tem um bloco CIDR com uma máscara de bits de pelo menos /27 (por exemplo, 10.0.0.0/27).

3. Confirme se cada sub-rede tem pelo menos oito endereços IP livres.

Exemplo: A sub-rede pública (sub-rede do Application Load Balancer) precisa de um bloco CIDR com uma máscara de bits de pelo menos /27:

Sub-rede pública na AZ A: 10.0.0.0/24
Sub-rede privada na AZ A: 10.1.0.0/24
Sub-rede pública na AZ B: 10.2.0.0/24
Sub-rede privada na AZ B: 10.3.0.0/24

Configurar seu balanceador de carga

1. Abra o console do Amazon EC2.

2. Associe as sub-redes públicas ao seu balanceador de carga (consulte Application Load Balancer, Network Load Balancer ou Classic Load Balancer).

3. Registre as instâncias de back-end no seu balanceador de carga (consulte Application Load Balancer, Network Load Balancer ou Classic Load Balancer).

Definir configurações de grupo de segurança e lista de controle de acesso (ACL) de rede do seu balanceador de carga

Analise as configurações recomendadas de grupos de segurança para Application Load Balancers ou Classic Load Balancers. Certifique-se de que:

seu balanceador de carga tenha portas de receptor e grupos de segurança que permitam acesso às portas.
O grupo de segurança da sua instância permita tráfego nas portas de receptor da instância e nas portas de verificação de integridade do balanceador de carga.
O grupo de segurança do balanceador de carga permita tráfego de entrada proveniente do cliente.
O grupo de segurança do balanceador de carga permita tráfego de saída para as instâncias e a porta de verificação de integridade.

Adicione uma regra no grupo de segurança da instância para permitir o tráfego proveniente do grupo de segurança atribuído ao balanceador de carga. Por exemplo, você tem o seguinte:

O grupo de segurança do balanceador de carga é sg-1234567a
A regra de entrada é HTTP TCP 80 0.0.0.0/0
O grupo de segurança da instância é sg-a7654321
A regra de entrada é HTTP TCP 80 sg-1234567a

Nesse caso, sua regra é semelhante à seguinte:


Tipo	Protocolo	Intervalo de portas	Origem
HTTP	TCP	80	sg-1234567a

Em seguida, revise as regras de ACL de rede recomendadas para o seu balanceador de carga. Essas recomendações são aplicáveis tanto a Application Load Balancers quanto a Classic Load Balancers.

Se estiver usando Network Load Balancers, consulte Solucionar problemas com o seu Network Load Balancer e Grupos de segurança de destino para obter detalhes de configuração. Confirme se o grupo de segurança da instância de back-end permite o tráfego para a porta do grupo de destino a partir de:

Endereços IP do cliente (se os destinos forem especificados pelo ID da instância)
Nós do balanceador de carga (se os destinos forem especificados pelo endereço IP)

Informações relacionadas

Como o Elastic Load Balancing funciona

Grupos de segurança do Amazon EC2 para instâncias Linux

Grupos de segurança do Amazon EC2 para instâncias Windows

Tópicos

Rede e entrega de conteúdo

Vídeos relacionados

Assista ao vídeo de Hannah para saber mais (7:18)

AWS OFICIALAtualizada há um ano

Conteúdo relevante

Por que não consigo anexar meu volume do Amazon EBS à minha instância do EC2?
AWS OFICIALAtualizada há um ano
Por que uma sub-rede que os balanceadores de carga usam na minha VPC tem endereços IP insuficientes?
AWS OFICIALAtualizada há um ano
Como atribuo um endereço IP de origem estático para todas as instâncias em um ambiente Elastic Beanstalk com balanceamento de carga?
AWS OFICIALAtualizada há um ano
Como faço para anexar um endereço IP elástico a Network Load Balancers novos ou existentes voltados para a Internet?
AWS OFICIALAtualizada há 2 anos