amazon-ec2 - VPC 中的 Amazon ELB

Question

我们正在使用 Amazon EC2，并且希望将 ELB(负载均衡器)放置到私有(private)子网上的 2 个实例。如果我们只是将私有(private)子网添加到 ELB，它将不会获得任何连接，如果我们将两个子网都附加到 ELB，那么它可以访问实例，但通常会超时。有人在其 VPC 的私有(private)子网中成功实现了 ELB 吗？如果是这样，您能给我解释一下程序吗？

谢谢

Answer 1

我和我的队友刚刚在一个 VPC 中实现了 ELB，该 VPC 在不同的可用区中有 2 个私有(private)子网。超时的原因是，对于添加到负载均衡器的每个子网，它都会获得一个外部 IP 地址。 (尝试“dig elb-dns-name-here”，您将看到几个 IP 地址)。如果这些 IP 地址之一映射私有(private)子网，则会超时。映射到您的公共(public)子网的 IP 将起作用。由于 DNS 可能会为您提供任意一个 IP 地址，因此有时有效，有时超时。

在与亚马逊反复讨论后，我们发现 ELB 只能放置在“公共(public)”子网中，即具有到 Internet 网关的路由的子网。我们希望将 Web 服务器保留在私有(private)子网中，但允许 ELB 与它们通信。为了解决这个问题，我们必须确保每个拥有私有(private)子网的可用区域都有一个相应的公共(public)子网。然后，我们将每个可用区的公共(public)子网添加到 ELB。

起初，这似乎不起作用，但在尝试了一切之后，我们重新创建了 ELB，一切都按预期工作。我认为这是一个错误，或者 ELB 只是由于如此多的变化而处于奇怪的状态。

这或多或少是我们所做的:

1. WebServer-1 正在可用性区域 us-east-1b 的 PrivateSubnet-1 中运行，安全组名为 web-server。
2. WebServer-2 正在可用性区域 us-east-1c 的 PrivateSubnet-2 中运行，安全组名为 web-server。
3. 在区域 us-east-1b 中创建了一个公有子网，我们将其称为 PublicSubnet-1。我们确保将包含到 Internet 网关 (ig-xxxxx) 的路由的路由表与这个新子网关联起来。 (如果您使用向导创建公有/私有(private) VPC，则此路由已存在。)
4. 在区域 us-east-1c 中创建了一个公有子网，我们将其称为 PublicSubnet-2。我们确保将包含到 Internet 网关 (ig-xxxxx) 的路由的路由表与这个新子网关联起来。 (如果您使用向导创建公有/私有(private) VPC，则此路由已存在。)
5. 创建了一个新的 ELB，并向其中添加了 PublicSubnet-1 和 PublicSubnet-2(不是 PrivateSubnet-X)。此外，还选择了要在 ELB 中运行的实例，在本例中为 WebServer-1 和 WebServer-2。确保分配一个允许传入端口 80 和 443 的安全组。我们将该组称为 elb-group。
6. 在网络服务器组中，允许来自 elb 组的端口 80 和 443 的流量。