如何將具有私有 IP 位址的後端 EC2 執行個體，附加至 ELB 中面向網際網路的負載平衡器？

簡短描述

若要在私有子網路中附加後端 Amazon EC2 執行個體，請在相同可用區域中建立公有子網路。然後，將這些公有子網路與您的負載平衡器建立關聯。

**注意：**您的負載平衡器會以私有方式與其目標建立連線。若要從網際網路下載軟體或安全修補程式，請在目標執行個體的路由表上使用 NAT 閘道規則，以允許網際網路存取。

解決方案

在開始之前，請確定您計劃向負載平衡器註冊之每個 EC2 執行個體的可用區域。

為您的 EC2 後端執行個體建立公有子網

若要為 EC2 後端執行個體建立公有子網，請完成下列步驟：

1. 在後端執行個體所在的每個可用區域中建立公有子網路。如果在相同可用區域中有多個私有子網路，請僅為該可用區域建立公有子網路。
2. 確認每個公有子網路均具有位元遮罩至少為 /27 的 CIDR 區塊 (例如 10.0.0.0/27)。
3. 確認每個子網路至少具有八個可用 IP 位址。
   例如，公有子網路 ( Application Load Balancer 子網路) 需要位元遮罩至少為 /27 的 CIDR 區塊：
   可用區域 A 中的公有子網路： 10.0.0.0/24
   可用區域 A 中的私有子網路： 10.1.0.0/24
   可用區域 B 中的公有子網路： 10.2.0.0/24
   可用區域 B 中的私有子網路： 10.3.0.0/24

設定負載平衡器

若要設定負載平衡器，請完成下列步驟：

1. 開啟 Amazon EC2 console (Amazon EC2 主控台)。
2. 在導覽窗格的 Load Balancing (負載平衡) 下，選擇 Load Balancers (負載平衡器)。然後，選取您的負載平衡器。
3. 將公有子網路與您的負載平衡器建立關聯。如需詳細資訊，請參閱下列內容：
   為 Application Load Balancer 設定負載平衡器和接聽程式
   為 Network Load Balancer 設定負載平衡器和接聽程式
   為 Classic Load Balancer 設定 Classic Load Balancer 子網路
4. 向您的負載平衡器註冊後端執行個體。如需詳細資訊，請參閱下列內容：
   向您的 Application Load Balancer 註冊目標
   為您的 Network Load Balancer 註冊目標
   向您的 Classic Load Balancer 註冊執行個體

設定負載平衡器的安全群組和網路 ACL

檢閱 Application Load Balancer 或 Classic Load Balancer 的安全群組設定。檢查以下項目：

• 您的負載平衡器具有開放的接聽程式連接埠和允許存取這些連接埠的安全群組。
• 您執行個體的安全群組允許來自負載平衡器的執行個體接聽程式連接埠和運作狀態檢查連接埠上的流量。
• 負載平衡器安全群組允許來自用戶端的傳入流量。
• 負載平衡器安全群組允許流向執行個體和運作狀態檢查連接埠的傳出流量。

在執行個體安全群組上新增規則，以允許來自指派給負載平衡器的安全群組的流量。例如，您有以下參數：

• 負載平衡器安全群組：sg-1234567a
• 輸入規則： HTTP TCP 80 0.0.0.0/0
• 執行個體安全群組：sg-a7654321
• 輸入規則： HTTP TCP 80 sg-1234567a

在此範例中，您的規則類似於以下內容：

• **類型：**HTTP
• **通訊協定：**TCP
• **連接埠範圍：**80
• 來源：sg-1234567a

查看與負載平衡器所使用子網路關聯的網路存取控制清單 (ACL) 規則。這些規則適用於 Application Load Balancer 和 Classic Load Balancer。

如果您使用 Network Load Balancer，請查看Network Load Balancer 疑難排解和目標安全群組，以了解組態詳細資訊。確認後端執行個體的安全群組允許從下列任一來源至目標群組連接埠的流量：

• 用戶端 IP 位址 (當目標由執行個體 ID 指定時)
• 負載平衡器節點 (當目標由 IP 位址指定時)

相關資訊

Elastic Load Balancing 的運作方式

適用於您 EC2 執行個體的 Amazon EC2 安全群組