我的问题是这个的扩展版本。
在我的情况下,安全组必须限制对负载均衡器 1 的访问。它必须有一些列入白名单的 IP。那么,我可以在此处放置哪些 IP 以允许从 Auto Scaling Group 2 私有实例访问负载均衡器 1?
我尝试将 NAT 网关的弹性 IP 作为列入白名单的 IP 并且它可以工作。我想了解为什么绝对有必要将此 IP 放在安全组中以从同一 VPC的私有子网实例访问面向 Internet 的 ALB 。
问问题
2482 次
1 回答
15
我尝试将 NAT 网关的弹性 IP 作为列入白名单的 IP 并且它可以工作。我想了解为什么绝对有必要将此 IP 放在安全组中以从同一 VPC 的私有子网实例访问面向 Internet 的 ALB。
因为私有子网中的实例会查找公共负载均衡器的 DNS,将其解析为其公共 Internet IP,然后尝试连接到通过 NAT 网关路由的该 IP。
据我所知,没有办法让公共弹性负载均衡器也可以解析为您的 VPC 内的私有 IP。因此,您必须通过 NAT 网关才能从您的私有 IP 内部访问公共负载均衡器。
另一种设置是创建第三个负载均衡器,即私有的,它也指向 Auto-Scale Group #1 中的实例,并让您的私有子网实例与该负载均衡器通信。
如果您使用第三种负载均衡器方法,您将创建一个新的目标组,将该组分配给您现有的自动扩展组,并将新的负载均衡器指向新的目标组。关键是一个目标组只能被一个Application Load Balancer使用,但是实例可以属于多个目标组,而弹性伸缩组可以有多个目标组。
于 2017-02-13T14:58:17.750 回答