我有一个面向互联网的负载均衡器。我想附加位于私有子网中的后端 Amazon Elastic Compute Cloud(Amazon EC2)实例。
要附加位于私有子网中的 Amazon EC2 实例,请先创建公有子网。这些公有子网所在的可用区必须与后端实例使用的私有子网相同。然后,将该公有子网与您的负载均衡器关联。
**注意:**您的负载均衡器与其目标建立私密连接。如需从互联网下载软件或安全补丁,请对目标实例的路由表](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)使用 NAT 网关规则[,允许互联网接入。
开始之前,请记下您的负载均衡器附加的每个 Amazon EC2 Linux 或 Amazon EC2 Windows 实例的可用区。
1. 在您的后端实例所在的每个可用区创建公有子网。如果有多个私有子网在同一个可用区,则为该可用区仅创建一个公有子网。
2. 确认每个公有子网都有一个位掩码至少为 /27(例如 10.0.0.0/27)的 CIDR 块。
3. 确认每个子网至少有八个空闲 IP 地址。
示例: 公有子网(应用程序负载均衡器子网)需要位掩码至少为 /27 的 CIDR 块:
AZ A 中的公有子网: 10.0.0.0/24 AZ A 中的私有子网: 10.1.0.0/24
AZ B 中的公有子网: 10.2.0.0/24 AZ B 中的私有子网: 10.3.0.0/24
1. 打开 Amazon EC2 控制台。
2. 将公有子网与负载均衡器关联(请参阅应用程序负载均衡器、网络负载均衡器或经典负载均衡器)。
3. 在您的负载均衡器中注册后端实例(请参阅应用程序负载均衡器、网络负载均衡器或经典负载均衡器)。
查看应用程序负载均衡器或经典负载均衡器的推荐安全组设置。请确保:
对实例安全组添加规则,允许来自分配给负载均衡器的安全组的流量。例如,您满足以下要求:
在这种情况下,您的规则与以下规则相似:
然后查看您的负载均衡器的推荐网络 ACL 规则。这些推荐适用于应用程序负载均衡器和经典负载均衡器。
如果您要使用网络负载均衡器,请查看 Troubleshoot your Network Load Balancer 和 Target security groups,了解配置详情。确认后端实例安全组允许以下任一来源的流量流向目标组端口:
How Elastic Load Balancing works
适用于 Linux 实例的 Amazon EC2 安全组
适用于 Windows 实例的 Amazon EC2 安全组