Решил перенести пару внутренних LB с классического на сетевой ELB. И я заметил, что NetELB не принимает трафик в рамках тех правил, которые имеют в качестве источника другой идентификатор группы безопасности (правила, которые имеют источники IP-адресов, работают).
Не заметил ничего, упомянутого в официальных документах об этом явлении, и мне интересно, происходит ли это из-за какой-то неправильной конфигурации или это реальное ограничение Network ELB? Может, AWS над этим работает? Это значительно упростило бы миграцию. Открытие всего VPC CIDR или целых подсетей не так уж и увлекательно, равно как и рефакторинг существующих подсетей для большей детализации при их открытии в группах безопасности.
Балансировщик сетевой нагрузки (NLB) просто перенаправляет ваше соединение соответствующему слушателю, поэтому вы можете управлять группой безопасности на слушателях.
Взгляните на сессию reInvent 2017 года «Monday Night Live», чтобы получить подробную информацию о Hyperplane, как на самом деле реализованы NLB (и другие службы).