Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!
Come posso collegare istanze EC2 di backend con indirizzi IP privati al mio bilanciatore del carico connesso a Internet in ELB?
Ho un bilanciatore del carico Elastic Load Balancing (ELB) connesso a Internet. Desidero collegare istanze Amazon Elastic Compute Cloud (Amazon EC2) di backend situate in sottoreti private.
Breve descrizione
Per collegare istanze Amazon EC2 di backend situate in sottoreti private, crea sottoreti pubbliche nelle stesse zone di disponibilità. Quindi associa le sottoreti pubbliche al bilanciatore del carico.
Nota: il bilanciatore del carico stabilisce una connessione privata con la destinazione. Per scaricare software o patch di sicurezza da Internet, utilizza una regola del gateway NAT nella tabella di routing dell'istanza di destinazione per consentire l'accesso a Internet.
Risoluzione
Prima di iniziare, identifica la zona di disponibilità di ogni istanza EC2 che intendi registrare con il bilanciatore del carico.
Crea sottoreti pubbliche per le istanze EC2 di backend
Per creare sottoreti pubbliche per le istanze EC2 di backend, completa i seguenti passaggi:
- Crea una sottorete pubblica in ogni zona di disponibilità in cui si trovano le istanze di backend. Se hai più di una sottorete privata nella stessa zona di disponibilità, crea una sola sottorete pubblica per quella zona di disponibilità.
- Verifica che ogni sottorete pubblica abbia un blocco CIDR con una bitmask che sia almeno /27 (ad esempio, 10.0.0.0/27).
- Verifica che ogni sottorete abbia almeno otto indirizzi IP liberi.
Ad esempio, una sottorete pubblica (sottorete dell'Application Load Balancer) richiede un blocco CIDR con una bitmask che sia almeno /27:
Sottorete pubblica nella zona di disponibilità A: 10.0.0.0/24
Sottorete privata nella zona di disponibilità A: 10.1.0.0/24
Sottorete pubblica nella zona di disponibilità B: 10.2.0.0/24
Sottorete privata nella zona di disponibilità B: 10.3.0.0/24
Configura il bilanciatore del carico
Per configurare il bilanciatore del carico, completa i seguenti passaggi:
- Apri la console Amazon EC2.
- Nel pannello di navigazione, in Bilanciamento del carico, scegli Bilanciatori del carico. Quindi seleziona il bilanciatore del carico.
- Associa le sottoreti pubbliche al bilanciatore del carico. Per ulteriori informazioni, consulta quanto segue:
Creazione di un Application Load Balancer per un Application Load Balancer
Creazione di un Network Load Balancer per un Network Load Balancer
Configura le sottoreti per il tuo Classic Load Balancer per un Classic Load Balancer - Registra le istanze di backend nel bilanciatore del carico. Per ulteriori informazioni, consulta quanto segue:
Registra le destinazioni con il tuo gruppo di destinazione di Application Load Balancer
Registra le destinazioni per il tuo Network Load Balancer
Registra le istanze con il tuo Classic Load Balancer
Configura il gruppo di sicurezza e l'ACL di rete del bilanciatore del carico
Rivedi le impostazioni del gruppo di sicurezza consigliate per gli Application Load Balancer o i Classic Load Balancer. Controlla quanto segue:
- Il bilanciatore del carico dispone di porte del listener aperte e gruppi di sicurezza che consentono l'accesso alle porte.
- Il gruppo di sicurezza dell'istanza consente il traffico sulle porte del listener dell'istanza e sulle porte di controllo dell’integrità dal bilanciatore del carico.
- Il gruppo di sicurezza del bilanciatore del carico consente il traffico in entrata dal client.
- Il gruppo di sicurezza del bilanciatore del carico consente il traffico in uscita verso le istanze e la porta di controllo dell'integrità.
Aggiungi una regola al gruppo di sicurezza dell'istanza per consentire il traffico proveniente dal gruppo di sicurezza assegnato al bilanciatore del carico. Ad esempio, hai i seguenti parametri:
- Gruppo di sicurezza del bilanciatore del carico: sg-1234567a
- Regola in entrata: HTTP TCP 80 0.0.0.0/0
- Gruppo di sicurezza dell’istanza: sg-a7654321
- Regola in entrata: HTTP TCP 80 sg-1234567a
In questo esempio, la regola è quindi simile alla seguente:
- Tipo: HTTP
- Protocollo: TCP
- Intervallo porte: 80
- Origine: sg-1234567a
Rivedi le regole della lista di controllo degli accessi (ACL) associate alle sottoreti utilizzate dal bilanciatore del carico. Le regole valgono sia per gli Application Load Balancer che per i Classic Load Balancer.
Se utilizzi Network Load Balancer, consulta Risoluzione dei problemi relativi al Network Load Balancer e Gruppi di sicurezza di destinazione per i dettagli di configurazione. Verifica che il gruppo di sicurezza dell'istanza di backend consenta il traffico verso la porta del gruppo di destinazione da:
- Indirizzi IP del client (quando le destinazioni sono specificate dall'ID dell'istanza)
- Nodi del bilanciatore del carico (quando le destinazioni sono specificate dall'indirizzo IP)
Informazioni correlate
- Argomenti
- Networking & Content Delivery
- Lingua
- Italiano
