Tenho um balanceador de carga voltado para a internet. Quero anexar instâncias de back-end do Amazon Elastic Compute Cloud (Amazon EC2) localizadas em uma sub-rede privada.
Breve descrição
Para anexar instâncias do Amazon EC2 que estão localizadas em uma sub-rede privada, primeiro crie sub-redes públicas. Essas sub-redes públicas devem estar nas mesmas zonas de disponibilidade das sub-redes privadas usadas pelas instâncias de back-end. Em seguida, associe as sub-redes públicas ao seu balanceador de carga.
Observação: seu balanceador de carga estabelece uma conexão privada com o destino. Para baixar softwares ou patches de segurança da Internet, use uma regra de gateway NAT na tabela de rotas da instância de destino para permitir o acesso à Internet.
Resolução
Antes de começar, anote a zona de disponibilidade de cada instância Linux do Amazon EC2 ou Windows do Amazon EC2 que você está anexando ao seu balanceador de carga.
Criar sub-redes públicas para suas instâncias de back-end
1. Crie uma sub-rede pública em cada zona de disponibilidade em que suas instâncias de back-end estão localizadas. Se você tiver mais de uma sub-rede privada na mesma zona de disponibilidade, crie somente uma sub-rede pública para essa zona de disponibilidade.
2. Confirme se cada sub-rede pública tem um bloco CIDR com uma máscara de bits de pelo menos /27 (por exemplo, 10.0.0.0/27).
3. Confirme se cada sub-rede tem pelo menos oito endereços IP livres.
Exemplo: A sub-rede pública (sub-rede do Application Load Balancer) precisa de um bloco CIDR com uma máscara de bits de pelo menos /27:
Configurar seu balanceador de carga
1. Abra o console do Amazon EC2.
2. Associe as sub-redes públicas ao seu balanceador de carga (consulte Application Load Balancer, Network Load Balancer ou Classic Load Balancer).
3. Registre as instâncias de back-end no seu balanceador de carga (consulte Application Load Balancer, Network Load Balancer ou Classic Load Balancer).
Definir configurações de grupo de segurança e lista de controle de acesso (ACL) de rede do seu balanceador de carga
Analise as configurações recomendadas de grupos de segurança para Application Load Balancers ou Classic Load Balancers. Certifique-se de que:
- seu balanceador de carga tenha portas de receptor e grupos de segurança que permitam acesso às portas.
- O grupo de segurança da sua instância permita tráfego nas portas de receptor da instância e nas portas de verificação de integridade do balanceador de carga.
- O grupo de segurança do balanceador de carga permita tráfego de entrada proveniente do cliente.
- O grupo de segurança do balanceador de carga permita tráfego de saída para as instâncias e a porta de verificação de integridade.
Adicione uma regra no grupo de segurança da instância para permitir o tráfego proveniente do grupo de segurança atribuído ao balanceador de carga. Por exemplo, você tem o seguinte:
- O grupo de segurança do balanceador de carga é sg-1234567a
- A regra de entrada é HTTP TCP 80 0.0.0.0/0
- O grupo de segurança da instância é sg-a7654321
- A regra de entrada é HTTP TCP 80 sg-1234567a
Nesse caso, sua regra é semelhante à seguinte:
| | | |
---|
Tipo | Protocolo | Intervalo de portas | Origem |
HTTP | TCP | 80 | sg-1234567a |
Em seguida, revise as regras de ACL de rede recomendadas para o seu balanceador de carga. Essas recomendações são aplicáveis tanto a Application Load Balancers quanto a Classic Load Balancers.
Se estiver usando Network Load Balancers, consulte Solucionar problemas com o seu Network Load Balancer e Grupos de segurança de destino para obter detalhes de configuração. Confirme se o grupo de segurança da instância de back-end permite o tráfego para a porta do grupo de destino a partir de:
- Endereços IP do cliente (se os destinos forem especificados pelo ID da instância)
- Nós do balanceador de carga (se os destinos forem especificados pelo endereço IP)
Informações relacionadas
Como o Elastic Load Balancing funciona
Grupos de segurança do Amazon EC2 para instâncias Linux
Grupos de segurança do Amazon EC2 para instâncias Windows