Я использую доступный в Интернет AWS ALB (Application Load Balancer) с кластером ECS (докер), и я хочу использовать его для пересылки стандартного веб-трафика и трафика внутренних веб-сервисов.
Балансировщик нагрузки приложения имеет прослушиватель для порта 443, он используется для стандартных веб-соединений https, он работает хорошо (я могу подключиться через браузер).
Я хочу использовать другой прослушиватель на другом порту (например, 10443) для своих внутренних микросервисов, только мои серверы должны иметь возможность подключаться к этим серверам. Я создал и настроил прослушиватель и правила ALB. У меня 2 группы безопасности:
С такой конфигурацией мои серверы не могут подключиться к порту 10443 на балансировщике нагрузки.
Единственный способ подключения - разрешить подключения отовсюду. фунтSG для порта 10443, но это плохая практика безопасности.
Я не использую обнаружение служб, потому что мне нужно использовать другую службу DNS (не Route53).
Для общедоступного балансировщика нагрузки (один в общедоступной подсети) ваши экземпляры в вашей частной подсети будут проходить через шлюз NAT на общедоступную сторону балансировщика нагрузки. Это означает, что ваша группа безопасности должна использовать IP-адрес (EIP) шлюза NAT.