Perché AWS Global Accelerator non supera i controlli di integrità degli endpoint?

5 minuti di lettura

Vorrei sapere perché gli endpoint registrati nel mio AWS Global Accelerator non sono integri.

Breve descrizione

Per gli acceleratori standard, AWS Global Accelerator verifica automaticamente l'integrità degli endpoint associati agli indirizzi IP statici. Quindi indirizza il traffico degli utenti solo verso endpoint integri.

Global Accelerator supporta quattro tipi di endpoint per gli acceleratori standard: istanza Amazon Elastic Compute Cloud (EC2), indirizzo IP elastico, Application Load Balancer e Network Load Balancer.

È possibile specificare le opzioni di controllo dell'integrità in Global Accelerator durante la configurazione degli endpoint. Tuttavia, l'acceleratore utilizza questa configurazione solo per i tipi di endpoint istanza EC2 e indirizzo IP elastico. Per gli endpoint Application Load Balancer e Network Load Balancer, Global Accelerator riutilizza i controlli di integrità già configurati associati a tali endpoint.

Tuttavia, i controlli di integrità potrebbero fallire per i diversi tipi di endpoint supportati da Global Accelerator. Per risolvere questi errori, consulta le seguenti soluzioni.

Risoluzione

Identifica il tipo di endpoint. Quindi, segui i passaggi nella rispettiva sezione per esaminare lo stato del controllo di integrità.

Tipo di endpoint: istanza EC2 o indirizzo IP elastico

1. Accedi alla console di Global Accelerator.

2. Scegli un acceleratore dall'elenco degli acceleratori per eseguire un controllo dell'integrità.

3. In Listeners (Ascoltatori), scegli l'ascoltatore che desideri esaminare.

4. In Endpoint groups (Gruppi di endpoint), apri i dettagli del controllo dell'integrità.

5. Esamina i seguenti dettagli del controllo di integrità: il percorso, la porta e il protocollo associati al gruppo di endpoint.

6. Individua la sezione denominata Endpoints. Questa sezione mostra se l'endpoint ha superato o meno il controllo di integrità. La sezione segnala uno stato di controllo dell'integrità non riuscito.

7. Se il controllo dell'integrità dell'endpoint ha esito negativo, assicurati che il firewall, i gruppi di sicurezza (SG) e la lista di controllo degli accessi alla rete (NACL) abbiano accesso agli indirizzi IP dello strumento di controllo dell'integrità di Amazon Route 53 e alla porta di controllo dell'integrità appropriata.

Global Accelerator richiede che le regole del router e del firewall consentano il traffico in entrata dagli indirizzi IP associati agli strumenti di controllo dell'integrità di Route 53. Ciò consente all'acceleratore di completare i controlli di integrità degli endpoint istanza EC2 o indirizzo IP elastico. Il controllo dell'integrità ha esito negativo se la porta o gli indirizzi IP sono bloccati. L'acceleratore segnala questi endpoint come non integri. Per ulteriori informazioni sugli indirizzi IP approvati, consulta la pagina Intervalli di indirizzi IP di server Amazon Route 53.

8. Assicurati di disporre di un server TCP, HTTP o HTTPS sull'endpoint per i controlli di integrità, indipendentemente dagli ascoltatori UDP o TCP. Una volta fatto ciò, completa i passaggi seguenti:

Verifica se l'applicazione è in ascolto sulla porta e sull'indirizzo IP richiesti (per le porte di controllo dell'integrità e le porte dell'applicazione) utilizzando il comando netstat. Se l'applicazione non è in ascolto sull'indirizzo IP e sulla porta, configura l'applicazione e assicurati che funzioni localmente sull'istanza.

On Windows: netstat -ano | findstr endpoint_IP_address:port
On Linux: netstat -anp | grep endpoint_IP_address:port

Nota: sostituisci endpoint_IP_address:port con l'indirizzo IP e il numero di porta dell'endpoint.

Usa questi strumenti per verificare la connettività agli endpoint sulle porte di controllo dell'integrità. I test devono avere esito positivo senza errori su tutti gli endpoint e le istanze dell'applicazione di destinazione. Assicurati che l'applicazione possa accettare le richieste di controllo dell'integrità configurate in base a queste impostazioni:

Per i controlli di integrità TCP: telnet endpoint_IP_address health_check_port
Per i controlli di integrità HTTP: curl -vko /dev/null http://endpoint_IP_address:port
Per i controlli di integrità HTTPS: curl -vko /dev/null https://endpoint_IP_address:port

Nota: sostituisci endpoint_IP_address con l'indirizzo IP dell'endpoint e health_check_port con il numero di porta associato.

Controlla se iptables (per Linux) e firewall (per Windows) stanno riducendo il traffico dell'applicazione.

Tipo di endpoint: Application Load Balancer o Network Load Balancer

Se il tipo di endpoint è un Application Load Balancer o un Network Load Balancer, Global Accelerator utilizza le informazioni di controllo dell'integrità del sistema di bilanciamento del carico per determinare l'integrità degli endpoint. Ci sono alcune considerazioni univoche su come Global Accelerator calcola l'integrità di questi endpoint:

Considerazioni su Application Load Balancer

1. Tutti i gruppi di destinazione dell'Application Load Balancer devono essere integri affinché Global Accelerator consideri il sistema di bilanciamento del carico integro. Per ulteriori informazioni su come configurare il gruppo di destinazione in Application Load Balancer, consulta la pagina Target group health (Integrità del gruppo di destinazione).

2. Se TUTTI i gruppi di destinazione sono vuoti, Global Accelerator considera l'Application Load Balancer non integro.

Considerazioni su Network Load Balancer

1. Tutti i gruppi di destinazione nel Network Load Balancer devono essere integri affinché Global Accelerator consideri il sistema di bilanciamento del carico integro. Per ulteriori informazioni su come configurare il gruppo di destinazione in Network Load Balancer, consulta la pagina Target group health (Integrità del gruppo di destinazione).

2. Se UN gruppo di destinazione è vuoto, Global Accelerator considera il Network Load Balancer non integro.

Fai riferimento ai seguenti articoli se i gruppi di destinazione di Elastic Load Balancing (ELB) segnalano risultati non integri:

Consulta la pagina How do I troubleshoot and fix failing health checks for Application Load Balancers? (In che modo è possibile risolvere e correggere i controlli di integrità non riusciti per gli Application Load Balancer?) per assicurarti che le destinazioni di Application Load Balancer siano integre.
Consulta la pagina Troubleshoot Your Network Load Balancer (Risoluzione dei problemi del Network Load Balancer) per assicurarti che le destinazioni di Network Load Balancer siano integre.

Informazioni correlate

Changing health check options (Modifica delle opzioni di controllo dell'integrità)

Argomenti

Networking e distribuzione di contenuti

Tag

AWS Global Accelerator

Lingua

Italiano

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Come posso usare DynamoDB Accelerator (DAX) con AWS Lambda?
AWS UFFICIALEAggiornata un anno fa
Come posso usare AWS WAF con AWS Global Accelerator per proteggere la mia applicazione da attacchi dannosi?
AWS UFFICIALEAggiornata un anno fa
Come posso usare AWS WAF con AWS Global Accelerator per impedire a metodi e intestazioni HTTP di livello 7 di accedere alla mia applicazione?
AWS UFFICIALEAggiornata un anno fa
Perché AWS Global Accelerator ha eseguito il failover su un endpoint in una regione diversa?
AWS UFFICIALEAggiornata un anno fa