¿Cómo adjunto instancias de backend con direcciones IP privadas a mi equilibrador de carga con acceso a Internet en ELB?

4 minutos de lectura
0

Tengo un equilibrador de carga con acceso a Internet. Quiero adjuntar instancias de backend de Amazon Elastic Compute Cloud (Amazon EC2) ubicadas en una subred privada.

Breve descripción

Para adjuntar instancias de Amazon EC2 ubicadas en una subred privada, primero cree subredes públicas. Estas subredes públicas deben estar en las mismas zonas de disponibilidad que las subredes privadas que utilizan las instancias de backend. Luego, asocie las subredes públicas al equilibrador de carga.

Nota: El equilibrador de carga establece una conexión con su destino de forma privada. Para descargar software o parches de seguridad de Internet, use una regla de puerta de enlace de NAT en la tabla de enrutamiento de la instancia de destino para permitir el acceso a Internet.

Solución

Antes de empezar, anote la zona de disponibilidad de cada instancia de Amazon EC2 Linux o Amazon EC2 Windows que vaya a adjuntar al equilibrador de carga.

Cómo crear subredes públicas para las instancias de backend

1.    Cree una subred pública en cada zona de disponibilidad en la que estén ubicadas las instancias de backend. Si tiene más de una subred privada en la misma zona de disponibilidad, cree solo una subred pública para esa zona de disponibilidad.

2.    Confirme que cada subred pública tenga un bloque de CIDR con una máscara de bits de al menos /27 (por ejemplo, 10.0.0.0/27).

3.    Confirme que cada subred tenga al menos ocho direcciones IP libres.

Ejemplo: La subred pública (subred del equilibrador de carga de aplicación) necesita un bloque de CIDR con una máscara de bits de al menos /27:

  • Subred pública en la zona de disponibilidad A: 10.0.0.0/24
    Subred privada en la zona de disponibilidad A: 10.1.0.0/24

  • Subred pública en la zona de disponibilidad B: 10.2.0.0/24
    Subred privada en la zona de disponibilidad B: 10.3.0.0/24

Cómo configurar el equilibrador de carga

1.    Abra la consola de Amazon EC2.

2.    Asocie las subredes públicas al equilibrador de carga (consulte Application Load Balancer, Network Load Balancer o Classic Load Balancer).

3.    Registre las instancias de backend en el equilibrador de carga (consulte Application Load Balancer, Network Load Balancer o Classic Load Balancer).

Cómo configurar el grupo de seguridad y la lista de control de acceso (ACL) de red del equilibrador de carga

Revise la configuración del grupo de seguridad recomendada para los equilibradores de carga de aplicación o equilibradores de carga clásicos. Asegúrese de que:

  • El equilibrador de carga tenga puertos de agente de escucha abiertos y grupos de seguridad que permitan el acceso a los puertos.
  • El grupo de seguridad de la instancia permita el tráfico en los puertos de agente de escucha y de comprobación de estado de la instancia desde el equilibrador de carga.
  • El grupo de seguridad del equilibrador de carga permita el tráfico entrante del cliente.
  • El grupo de seguridad del equilibrador de carga permita el tráfico saliente a las instancias y al puerto de comprobación de estado.

Añada una regla en el grupo de seguridad de la instancia para permitir el tráfico del grupo de seguridad asignado al equilibrador de carga. Por ejemplo, tiene lo siguiente:

  • El grupo de seguridad del equilibrador de carga es sg-1234567a
  • La regla de entrada es HTTP TCP 80 0.0.0.0/0
  • El grupo de seguridad de la instancia es sg-a7654321
  • La regla de entrada es HTTP TCP 80 sg-1234567a

En este caso, la regla es similar a la siguiente:

TipoProtocoloIntervalo de puertosOrigen
HTTPTCP80sg-1234567a

A continuación, revise las reglas de las ACL de la red recomendadas para el equilibrador de carga. Estas recomendaciones se aplican tanto a los equilibradores de carga de aplicación como a los equilibradores de carga clásicos.

Si utiliza equilibradores de carga de red, consulte Troubleshoot your Network Load Balancer y Target security groups para obtener más información sobre la configuración. Confirme que el grupo de seguridad de la instancia de backend permita el tráfico al puerto del grupo de destino desde:

  • Direcciones IP de clientes (si los destinos se especifican mediante el ID de la instancia)
  • Nodos del equilibrador de carga (si los destinos se especifican mediante la dirección IP)

Información relacionada

How Elastic Load Balancing works

Grupos de seguridad de Amazon EC2 para instancias de Linux

Grupos de seguridad de Amazon EC2 para instancias de Windows

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año