Je souhaite me connecter à un équilibreur de charge dans le VPC A à partir de mon instance dans le VPC B. Comment puis-je accéder à un équilibreur de charge interne à l'aide de l'appairage de VPC ?
Brève description
Pour accéder à un équilibreur de charge interne dans le VPC A à partir du VPC B :
- Établissez une connectivité entre le VPC A et le VPC B à l'aide de l'appairage de VPC.
- Établissez les routes, les règles de groupe de sécurité et les règles de liste de contrôle d'accès (ACL) réseau nécessaires pour autoriser le trafic entre les VPC.
Solution
Grâce à l'appairage de VPC, vous pouvez accéder aux équilibreurs de charge internes (y compris les Classic Load Balancers, les équilibreurs de charge d'application et les Network Load Balancers) à partir d'un autre VPC.
- Établissez une connectivité entre vos VPC à l'aide de l'appairage de VPC.
Remarque : l'appairage de VPC est disponible pour la connectivité intra-région et inter-région pour les VPC locaux ou entre comptes.
- Vérifiez qu'une route pour le CIDR des sous-réseaux de l'équilibreur de charge (ou CIDR VPC) existe dans la table de routage du sous-réseau client. La route doit être dirigée vers l'ID d'appairage de VPC de vos VPC. De même, vérifiez que la route du sous-réseau client/CIDR VPC existe dans la table de routage des sous-réseaux de l'équilibreur de charge.
- Résolvez le nom DNS de l'équilibreur de charge à partir de votre instance et utilisez nslookup pour le vérifier.
- Si vous utilisez un Classic Load Balancer ou une Application Load Balancer : vérifiez que le groupe de sécurité et la liste ACL réseau autorisent le trafic à partir du sous-réseau/VPC complet de l'instance ou de l'adresse IP de l'instance spécifique :
Dans le groupe de sécurité de l'équilibreur de charge, autorisez uniquement le trafic entrant sur le port d'écoute de l'équilibreur de charge.
Pour la liste ACL réseau du sous-réseau, autorisez le trafic entrant à partir de l'adresse IP de l'instance ou du sous-réseau/VPC pour le port d'écoute de l'équilibreur de charge. En sortie, assurez-vous que la plage de ports éphémères (1024 à 65535) autorise le trafic de retour des nœuds de l'équilibreur de charge vers l'instance.
-ou-
Si vous utilisez un Network Load Balancer, assurez-vous que le trafic est autorisé dans le groupe de sécurité des instances cibles.
Remarque : modifiez vos groupes de sécurité ou vos listes ACL réseau, si nécessaire. Si vous n'avez pas modifié les listes ACL réseau, une règle par défaut autorise tout le trafic (0.0.0.0/0). Dans ce cas, vous n'avez pas besoin de modifier les listes ACL réseau. Cependant, une bonne pratique de sécurité d'AWS consiste à autoriser le trafic vers et depuis des plages CIDR spécifiques.
- Vérifiez que le groupe de sécurité de l'instance autorise le trafic sortant vers l'équilibreur de charge associé aux sous-réseaux ou par défaut (0.0.0.0/0).
Pour la liste ACL réseau du sous-réseau, vérifiez qu'il existe une règle de sortie autorisant le trafic pour les sous-réseaux de l'équilibreur de charge sur le port d'écoute de l'équilibreur de charge. En entrée, vérifiez qu'il existe une règle autorisant le trafic vers l'adresse IP/le sous-réseau de l'instance sur les ports éphémères pour le trafic de réponse.
Remarque : Si vous n'avez pas modifié ces paramètres par défaut, vous n'avez pas besoin de modifier la règle sortante par défaut (0.0.0.0/0) pour le groupe de sécurité ou la règle ALLOW ALL par défaut pour le réseau ACL du sous-réseau avec l'instance. Cependant, une bonne pratique de sécurité d'AWS consiste à autoriser le trafic vers et depuis des plages CIDR spécifiques.