Wie füge ich Backend-Instances mit privaten IP-Adressen an meinen mit dem Internet verbundenen Load Balancer in ELB an?

Lesedauer: 3 Minute

Ich habe einen mit dem Internet verbundenen Load Balancer. Ich möchte Backend-Instances von Amazon Elastic Compute Cloud (Amazon EC2) anhängen, die sich in einem privaten Subnetz befinden.

Kurzbeschreibung

Um Amazon EC2-Instances anzuhängen, die sich in einem privaten Subnetz befinden, erstellen Sie zunächst öffentliche Subnetze. Diese öffentlichen Subnetze müssen sich in denselben Availability Zones befinden wie die privaten Subnetze, die von den Back-End-Instances verwendet werden. Ordnen Sie dann die öffentlichen Subnetze Ihrem Load Balancer zu.

Hinweis: Ihr Load Balancer stellt privat eine Verbindung zu seinem Ziel her. Um Software oder Sicherheitspatches aus dem Internet herunterzuladen, verwenden Sie eine NAT-Gateway-Regel in der Routing-Tabelle der Ziel-Instance, um den Internetzugang zu ermöglichen.

Behebung

Bevor Sie beginnen, notieren Sie sich die Verfügbarkeitszone jeder Amazon EC2 Linux- oder Amazon EC2 Windows-Instance, die Sie an Ihren Load Balancer anschließen.

Erstellen Sie öffentliche Subnetze für Ihre Backend-Instances

Erstellen Sie ein öffentliches Subnetz in jeder Availability Zone, in der sich Ihre Backend-Instances befinden. Wenn Sie mehr als ein privates Subnetz in derselben Verfügbarkeitszone haben, erstellen Sie nur ein öffentliches Subnetz für diese Verfügbarkeitszone.

2.Bestätigen Sie, dass jedes öffentliche Subnetz über einen CIDR-Block mit einer Bitmaske von mindestens /27 verfügt (z. B. 10.0.0.0/27).

3.Bestätigen Sie, dass jedes Subnetz über mindestens acht freie IP-Adressen verfügt.

Beispiel: Das öffentliche Subnetz (Application Load Balancer-Subnetz) benötigt einen CIDR-Block mit einer Bitmaske von mindestens /27:

Öffentliches Subnetz in AZ A: 10.0.0.0/24
Privates Subnetz in AZ A: 10.1.0.0/24
Öffentliches Subnetz in AZ B: 10.2.0.0/24
Privates Subnetz in AZ B: 10.3.0.0/24

Konfigurieren Sie Ihren Load Balancer

1. Öffnen Sie die Amazon-EC2-Konsole.

Ordnen Sie die öffentlichen Subnetze Ihrem Load Balancer zu (siehe Application Load Balancer, Network Load Balancer oder Classic Load Balancer).
Registrieren Sie die Backend-Instances bei Ihrem Load Balancer (siehe Application Load Balancer, Network Load Balancer oder Classic Load Balancer).

Konfigurieren Sie die Einstellungen für die Sicherheitsgruppe und die Netzwerkzugriffskontrollliste (ACL) Ihres Load Balancers

Überprüfen Sie die empfohlenen Sicherheitsgruppeneinstellungen für Application Load Balancer oder Classic Load Balancer. Stellen Sie sicher, dass:

Ihr Load Balancer verfügt über offene Listener-Ports und Sicherheitsgruppen, die den Zugriff auf die Ports ermöglichen.
Die Sicherheitsgruppe für Ihre Instance lässt Datenverkehr auf Instance-Listener-Ports und Health Check-Ports vom Load Balancer zu.
Die Load-Balancer-Sicherheitsgruppe lässt eingehenden Datenverkehr vom Client zu.
Die Load-Balancer-Sicherheitsgruppe ermöglicht ausgehenden Datenverkehr zu den Instances und zum Zustandsprüfungs-Port.

Fügen Sie der Instance-Sicherheitsgruppe eine Regel hinzu, um Datenverkehr von der Sicherheitsgruppe zuzulassen, die dem Load Balancer zugewiesen ist. Zum Beispiel haben Sie Folgendes:

Die Load-Balancer-Sicherheitsgruppe ist sg-1234567a
Die Eingangsregel ist HTTP TCP 80 0.0.0.0/0
Die Instance-Sicherheitsgruppe ist sg-a7654321
Die Eingangsregel ist HTTP TCP 80 sg-1234567a

In diesem Fall sieht Ihre Regel wie folgt aus:


Typ	Protokoll	Port-Bereich	Quelle
HTTP	TCP	80	sg-1234567a

Überprüfen Sie anschließend die empfohlenen Netzwerk-ACL-Regeln für Ihren Load Balancer. Diese Empfehlungen gelten sowohl für Application Load Balancer als auch für Classic Load Balancer.

Wenn Sie Network Load Balancer verwenden, finden Sie Konfigurationsdetails unter Fehlerbehebung bei Ihren Netzwerk-Load-Balancer- und Ziel-Sicherheitsgruppen. Bestätigen Sie, dass die Sicherheitsgruppe der Backend-Instance Datenverkehr zum Port der Zielgruppe zulässt von: