En utilisant AWS re:Post, vous acceptez les Conditions d’utilisation
AWS re:Postre:Post

Comment attacher des instances backend avec des adresses IP privées à mon équilibreur de charge accessible sur Internet dans ELB ?

Lecture de 4 minute(s)
0

J'ai un équilibreur de charge accessible sur Internet. Je souhaite y attacher des instances back-end Amazon Elastic Compute Cloud (Amazon EC2) situées dans un sous-réseau privé.

Brève description

Pour associer des instances Amazon EC2 situées dans un sous-réseau privé, créez d'abord des sous-réseaux publics. Ces sous-réseaux publics doivent se trouver dans les mêmes zones de disponibilité que les sous-réseaux privés utilisés par les instances back-end. Associez ensuite les sous-réseaux publics à votre équilibreur de charge.

Remarque : votre équilibreur de charge établit une connexion privée avec sa cible. Pour télécharger des logiciels ou des correctifs de sécurité depuis Internet, utilisez une règle de passerelle NAT sur la table de routage de l'instance cible pour autoriser l'accès à Internet.

Solution

Avant de commencer, notez la zone de disponibilité de chaque instance Amazon EC2 Linux ou Amazon EC2 Windows que vous attachez à votre équilibreur de charge.

Créer des sous-réseaux publics pour vos instances back-end

1.    Créez un sous-réseau public dans chaque zone de disponibilité où se trouvent vos instances back-end. Si vous avez plusieurs sous-réseaux privés dans la même zone de disponibilité, puis créez un seul sous-réseau public pour cette zone de disponibilité.

2.    Vérifiez que chaque sous-réseau public a un bloc CIDR avec un masque de bits d'au moins /27 (par exemple 10.0.0.0/27).

3.    Vérifiez que chaque sous-réseau possède au moins huit adresses IP libres.

Exemple : le sous-réseau public (sous-réseau Application Load Balancer) a besoin d'un bloc d'adresse CIDR avec un masque de bits d'au moins /27 :

  • Sous-réseau public dans AZ A : 10.0.0.0/24
    Sous-réseau privé dans AZ A : 10.1.0.0/24

  • Sous-réseau public dans AZ B : 10.2.0.0/24
    Sous-réseau privé dans AZ B : 10.3.0.0/24

Configurez votre équilibreur de charge

1.    Ouvrez la console Amazon EC2.

2.    Associez les sous-réseaux publics à votre équilibreur de charge (voir Application Load Balancer, Network Load Balancer ou Classic Load Balancer).

3.    Enregistrez les instances backend avec votre équilibreur de charge (voir Application Load Balancer, Network Load Balancer ou Classic Load Balancer).

Configurez les paramètres du groupe de sécurité et de la liste de contrôle d'accès (ACL) réseau de votre équilibreur de charge

Vérifiez les paramètres de groupe de sécurité recommandés pour les Application Load Balancer ou les Classic Load Balancer. Assurez-vous que :

  • Votre équilibreur de charge possède des ports d'écoute ouverts et des groupes de sécurité qui autorisent l'accès aux ports.
  • Le groupe de sécurité de votre instance autorise le trafic sur les ports d'écoute d'instance et les ports de vérification de l'état à partir de l'équilibreur de charge.
  • Le groupe de sécurité de l'équilibreur de charge autorise le trafic entrant à partir du client.
  • Le groupe de sécurité de l'équilibreur de charge autorise le trafic sortant vers les instances et le port de vérification de l'état.

Ajoutez une règle au groupe de sécurité de l'instance pour autoriser le trafic du groupe de sécurité assigné à l'équilibreur de charge. Par exemple, vous disposez des éléments suivants :

  • Le groupe de sécurité de l’équilibreur de charge est sg-1234567a
  • La règle d'entrée est HTTP TCP 80 0.0.0.0/0
  • Le groupe de sécurité de l'instance est sg-a7654321
  • La règle d'entrée est HTTP TCP 80 sg-1234567a

Dans ce cas, votre règle ressemble à la suivante :

TypeProtocolePlage de portsSource
HTTPTCP80sg-1234567a

Ensuite, vérifiez les règles de l'ACL réseau recommandées pour votre équilibreur de charge. Ces recommandations s'appliquent à la fois aux équilibreurs de charge Application Load Balancer et Classic Load Balancer.

Si vous utilisez des Network Load Balancer, puis consultez Résolution des problèmes de votre Network Load Balancer et Groupes de sécurité cibles pour obtenir les détails de configuration. Confirmez que le groupe de sécurité de l'instance backend autorise le trafic vers le port du groupe cible à partir de l'un des éléments ci-dessous :

  • Adresses IP du client (si les cibles sont spécifiées par ID d'instance)
  • Nœuds d'équilibreur de charge (si les cibles sont spécifiées par adresse IP)

Informations connexes

Fonctionnement d'Elastic Load Balancing

Groupes de sécurité Amazon EC2 pour les instances Linux

Groupes de sécurité Amazon EC2 pour les instances Windows

Sujets
Réseaux et diffusion de contenu
Balises
Elastic Load Balancing
Langue
Français

Vidéos associées

Regarder la vidéo de Hannah pour en savoir plus (7:18)
Regarder la vidéo de Hannah pour en savoir plus (7:18)
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 3 mois
Aucun commentaire

Contenus pertinents