Come posso collegare istanze di backend con indirizzi IP privati al bilanciatore del carico connesso a Internet in ELB?

4 minuti di lettura
0

Dispongo di un bilanciatore del carico connesso a Internet. Desidero collegare istanze Amazon Elastic Compute Cloud (Amazon EC2) di backend presenti in una sottorete privata.

Breve descrizione

Per collegare istanze Amazon EC2 presenti in una sottorete privata, crea innanzitutto delle sottoreti pubbliche. Queste sottoreti pubbliche devono essere nelle stesse zone di disponibilità delle sottoreti private utilizzate dalle istanze di backend. Quindi, associa le sottoreti pubbliche al bilanciatore del carico.

Nota: il bilanciatore del carico stabilisce una connessione privata con la destinazione. Per scaricare software o patch di sicurezza da Internet, utilizza una regola del gateway NAT nella tabella di routing dell'istanza di destinazione per consentire l'accesso a Internet.

Risoluzione

Prima di iniziare, annota la zona di disponibilità di ogni istanza Amazon EC2 Linux o Amazon EC2 Windows da collegare al bilanciatore del carico.

Crea delle sottoreti pubbliche per le istanze di backend

1.    Crea una sottorete pubblica in ogni zona di disponibilità in cui si trovano le istanze di backend. Se hai più di una sottorete privata nella stessa zona di disponibilità, crea solo una sottorete pubblica per quella zona di disponibilità.

2.    Verifica che ogni sottorete pubblica abbia un blocco CIDR con una bitmask di almeno /27 (ad esempio, 10.0.0.0/27).

3.    Verifica che ogni sottorete abbia almeno otto indirizzi IP gratuiti.

Esempio: la sottorete pubblica (sottorete Application Load Balancer) richiede un blocco CIDR con una bitmask di almeno /27:

  • Sottorete pubblica in AZ A: 10.0.0.0/24
    Sottorete privata in AZ A: 10.1.0.0/24

  • Sottorete pubblica in AZ B: 10.2.0.0/24
    Sottorete privata in AZ B: 10.3.0.0/24

Configura il bilanciatore del carico

1.    Apri la console Amazon EC2.

2.    Associa le sottoreti pubbliche al bilanciatore del carico (vedi Application Load Balancer, Network Load Balancer o Classic Load Balancer).

3.    Registra le istanze di backend con il bilanciatore del carico (vedi Application Load Balancer, Network Load Balancer o Classic Load Balancer).

Configura le impostazioni del gruppo di sicurezza e della lista di controllo degli accessi (ACL) di rete del bilanciatore del carico

Rivedi le impostazioni del gruppo di sicurezza consigliate per Application Load Balancer o Classic Load Balancer. Assicurati che:

  • Il sistema di bilanciamento del carico disponga di porte dell'ascoltatore aperte e gruppi di sicurezza che consentano l'accesso alle porte.
  • Il gruppo di sicurezza dell'istanza consenta il traffico sulle porte dell'ascoltatore dell'istanza e sulle porte di controllo dell’integrità dal bilanciatore del carico.
  • Il gruppo di sicurezza del bilanciatore del carico consenta il traffico in entrata dal client.
  • Il gruppo di sicurezza del bilanciatore del carico consenta il traffico in uscita verso le istanze e la porta di controllo dell'integrità.

Aggiungi una regola al gruppo di sicurezza dell'istanza per consentire il traffico proveniente dal gruppo di sicurezza assegnato al bilanciatore del carico. Ad esempio, considera la seguente situazione:

  • Il gruppo di sicurezza del bilanciatore del carico è sg-1234567a
  • La regola di ingresso è HTTP TCP 80 0.0.0.0/0
  • Il gruppo di sicurezza dell’istanza è sg-a7654321
  • La regola di ingresso è HTTP TCP 80 sg-1234567a

In questo caso, la regola sarà simile alla seguente:

TipoProtocolloIntervallo di porteOrigine
HTTPTCP80sg-1234567a

Quindi, rivedi le regole ACL di rete consigliate per il bilanciatore del carico. Queste raccomandazioni si applicano sia agli Application Load Balancer che ai Classic Load Balancer.

Se utilizzi Network Load Balancer, consulta la sezione Troubleshoot your Network Load Balancer e Target security groups per i dettagli di configurazione. Verifica che il gruppo di sicurezza dell'istanza di backend consenta il traffico verso la porta del gruppo di destinazione da:

  • Indirizzi IP del client (se le destinazioni sono specificate dall'ID dell'istanza)
  • Nodi del bilanciatore del carico (se le destinazioni sono specificate dall'indirizzo IP)

Informazioni correlate

How Elastic Load Balancing works

Amazon EC2 security groups for Linux instances

Amazon EC2 security groups for Windows instances