Comment puis-je accéder à un équilibreur de charge interne à l'aide de l'appairage de VPC ?

Brève description

Pour accéder à un équilibreur de charge interne dans le VPC A à partir du VPC B :

1. Établissez une connectivité entre le VPC A et le VPC B à l'aide de l'appairage de VPC.
2. Établissez les routes, les règles de groupe de sécurité et les règles de liste de contrôle d'accès (ACL) réseau nécessaires pour autoriser le trafic entre les VPC.

Solution

Grâce à l'appairage de VPC, vous pouvez accéder aux équilibreurs de charge internes (y compris les Classic Load Balancers, les équilibreurs de charge d'application et les Network Load Balancers) à partir d'un autre VPC.

1. Établissez une connectivité entre vos VPC à l'aide de l'appairage de VPC.
   Remarque : l'appairage de VPC est disponible pour la connectivité intra-région et inter-région pour les VPC locaux ou entre comptes.
2. Vérifiez qu'une route pour le CIDR des sous-réseaux de l'équilibreur de charge (ou CIDR VPC) existe dans la table de routage du sous-réseau client. La route doit être dirigée vers l'ID d'appairage de VPC de vos VPC. De même, vérifiez que la route du sous-réseau client/CIDR VPC existe dans la table de routage des sous-réseaux de l'équilibreur de charge.
3. Résolvez le nom DNS de l'équilibreur de charge à partir de votre instance et utilisez nslookup pour le vérifier.
4. Si vous utilisez un Classic Load Balancer ou une Application Load Balancer : vérifiez que le groupe de sécurité et la liste ACL réseau autorisent le trafic à partir du sous-réseau/VPC complet de l'instance ou de l'adresse IP de l'instance spécifique :
   Dans le groupe de sécurité de l'équilibreur de charge, autorisez uniquement le trafic entrant sur le port d'écoute de l'équilibreur de charge.
   Pour la liste ACL réseau du sous-réseau, autorisez le trafic entrant à partir de l'adresse IP de l'instance ou du sous-réseau/VPC pour le port d'écoute de l'équilibreur de charge. En sortie, assurez-vous que la plage de ports éphémères (1024 à 65535) autorise le trafic de retour des nœuds de l'équilibreur de charge vers l'instance.
   -ou-
   Si vous utilisez un Network Load Balancer, assurez-vous que le trafic est autorisé dans le groupe de sécurité des instances cibles.
   Remarque : modifiez vos groupes de sécurité ou vos listes ACL réseau, si nécessaire. Si vous n'avez pas modifié les listes ACL réseau, une règle par défaut autorise tout le trafic (0.0.0.0/0). Dans ce cas, vous n'avez pas besoin de modifier les listes ACL réseau. Cependant, une bonne pratique de sécurité d'AWS consiste à autoriser le trafic vers et depuis des plages CIDR spécifiques.
5. Vérifiez que le groupe de sécurité de l'instance autorise le trafic sortant vers l'équilibreur de charge associé aux sous-réseaux ou par défaut (0.0.0.0/0).
   Pour la liste ACL réseau du sous-réseau, vérifiez qu'il existe une règle de sortie autorisant le trafic pour les sous-réseaux de l'équilibreur de charge sur le port d'écoute de l'équilibreur de charge. En entrée, vérifiez qu'il existe une règle autorisant le trafic vers l'adresse IP/le sous-réseau de l'instance sur les ports éphémères pour le trafic de réponse.
   Remarque : Si vous n'avez pas modifié ces paramètres par défaut, vous n'avez pas besoin de modifier la règle sortante par défaut (0.0.0.0/0) pour le groupe de sécurité ou la règle ALLOW ALL par défaut pour le réseau ACL du sous-réseau avec l'instance. Cependant, une bonne pratique de sécurité d'AWS consiste à autoriser le trafic vers et depuis des plages CIDR spécifiques.