问题标签 [aws-nlb]

我有一个带有 TLS 侦听器和后端 TLS 协议目标组的 NLB。我的后端服务器是启用了证书对等验证的 Rabbitmq 和 SSL。

当我尝试直接从应用程序连接到服务器时，它正在工作并通过 NLB 显示 SSL 握手失败。

我有 NLB，它的目标组注册了不同 AZ 中的 3 个实例。

当我浏览文档时 NLB 没有安全组。所以我向 ec2 实例安全组添加了 3 个入站规则，这些规则允许来自所有三个 AZ 的 NLB 网络接口的私有 IP 将 tcp 流量发送到 ec2 实例。

注意：- 对所有 3 个 ec2 实例的健康检查都是健康的。

当我通过允许我的私有 IP 流量尝试相同的事情时，没有超时问题。

我正在尝试确保客户端和我的后端服务器之间的完整 e2e 连接。这就是我当前的基础架构的样子：

1. Fargate 集群，我的后端应用程序放置在私有子网中。
2. 它们前面是内部网络负载均衡器，它也不暴露给外界。
3. REST API Gateway 与我的内部 NLB 的 VPC 链接集成。

目前，我的 NLB 在端口 443 上使用 TLS 侦听器并附加了证书，但正在终止 TLS 并通过端口 80 上的 TCP 与目标组进行通信。我的计划是也在我的 Fargate 节点上配置 TLS 和证书。目前我缺乏对以下设置如何工作的理解。是要将加密流量从我的客户端发送到后端应用程序，还是在 NLB 执行解密并在将流量发送到 Fargate 节点之前再加密一次？

我已经了解到阅读许多博客，可以使用 NLB 实现直通行为，而无需解密/加密 NLB 上的流量，但没有找到任何示例，AWS 文档也不清楚这个主题。

是否可以将证书仅应用于我的后端应用程序并仅在那里进行解密？我的理解是，我可能看起来类似于以下内容：

1. 在我的 Fargate 应用端配置的证书和 TLS
2. NLB 在端口 443 上具有 TCP 侦听器，没有在 NLB 级别应用证书。因此 NLB 只会将加密流量从我的客户端传递到后端。

有没有人尝试过建立类似的基础设施并且对如何配置有一些了解？

问候。

我正在运行 NGINX + Gunicorn 设置以从 AWS EC2 为我的 Django 应用程序提供服务，该应用程序在前面有一个网络负载均衡器。最近我从我的 NGINX 收到了很多 HTTP 499，它们都是连续的，而不是一次性的。

AWS 网络负载均衡器具有 350 秒的固定空闲超时，我相信无法修改。我所有的 NGINX 超时都设置为 600。

这还有什么原因？

下面是我的 NGINX 配置

您可以在 AWS 网络 ALB 中使用 12000 - 12100 等端口范围吗？客户端应该能够在该端口范围内进行连接。如何？

我正在尝试创建 NLB，并按照https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancer-getting-started.html中说明的步骤进行操作。当我创建目标组时，实例显示它们不健康Health checks failed。实例正在运行并且状态检查已通过。

我发现 [https://stackoverflow.com/questions/51135715/how-to-avoid-the-configuration-error-while-using-aws-api-gateway-with-vpc-link] 我需要添加 NLB IPv4 到目标组中实例的安全组作为入站规则。还是没有运气！

我使用 Troposphere 和 Python 创建了一个 AWS NLB。它工作正常，我只是想向它添加一个新属性。我要添加的属性是“deregistration_delay.connection_termination.enabled”。但是当我尝试更新我的节时，它不喜欢我的语法。

这是我尝试添加的带有 TargetGroupAttribute 的代码块。

它不喜欢我共享的代码块的“TargetGroupAttribute”部分。我收到错误“TargetGroup 对象不支持属性 TargetGroupAttribute”。

我用来添加属性的 AWS 文档在这里。

任何建议或帮助将不胜感激。谢谢！

我想创建一个 vpc 端点服务，以便为我们的内部应用程序在调用 JIRA 时绕过我们的 SSO 页面提供一种方式。

遵循此文档：https ://docs.amazonaws.cn/en_us/vpc/latest/privatelink/endpoint-service-overview.html

我创造：

• 内部方案上的 NLB（在端口 443 上使用侦听器 TLS）
• 目标组（TLS 端口 443）
• 健康检查 (TCP 443)
• 端点服务

我的 api 节点正在侦听以下端口：

我的目标实例和 Healthcheck 不断失败。

我已经多次重建 NLB/Target 组，尝试 TLS 和 TCP 侦听器 - 但似乎没有任何效果。

我错过了什么？

我有一个带有 SSL 终止的 AWS NLB -> kubernetes nginx 入口控制器配置，我希望能够仅将某些特定域从 http 重定向到 https。我在我的 Ingress 资源中使用以下服务器代码段：

它实际上生成了正确的 nginx.conf 文件，但它不断重定向 http 和 https 请求。

我还尝试了注释“force-ssl-redirect”和“ssl-redirect”，但得到了相同的结果。我在这个配置中遗漏了什么吗？如果没有并且这不是一个有效的功能，还有其他方法可以进行重定向吗？

我想用AWS内部的NLB创建一个nginx入口控制器，要求是固定NLB端点的IP地址，例如，目前Nginx入口服务的NLB dns是abc.elb.eu-central-1.amazonaws。 com 解析为 ip 地址 192.168.1.10，如果我删除并重新创建 nginx 入口控制器，我希望 NLB DNS 必须与以前相同。查看 kubernetes 服务注释，我没有看到任何重用现有 NLB 的方法，但是，我在链接中找到了注释 service.beta.kubernetes.io/aws-load-balancer-private-ipv4-addresses ，据我了解，它允许我为 NLB 设置 ip 地址，但它没有按我的预期工作，每次我重新创建 nginx 控制器时，ip 地址都是不同的，下面是 K8s 服务 yaml 文件。

我知道这个要求很奇怪，可以这样做吗？