Балансировщики нагрузки Amazon имеют политику сетевой безопасности, которая принимает пакеты ICMP для обоих ping и traceroute. Он указан как группа безопасности amazon-elb/amazon-elb-sg. Лично я считаю эти инструменты очень полезными при диагностике проблем, поэтому я хотел бы использовать их в своем сервисе. Я бы предпочел, чтобы балансировщик нагрузки либо отвечал на эти запросы, либо пересылал их.
Есть ли способ изменить настройки группы безопасности на ELB? Или любым другим способом проверить IP-соединение с ELB?
Обновить
Чтобы было ясно, я не вижу возможности в консоли AWS ни установить SG на вновь созданном ELB, ни изменить SG на существующем ELB.
Да, это работает для классических балансировщиков нагрузки и балансировщиков нагрузки приложений. Зайдите в настройки своей группы безопасности и разрешите входящий ICMP-трафик на тот, который назначен вашему ELB. Группы безопасности работают одинаково, независимо от того, назначены они экземпляру ELB или EC2.
Я только что протестировал и подтвердил:
[jjbegin@bane ~]$ ping elb01-2026631704.us-east-1.elb.amazonaws.com
PING elb01-2026631704.us-east-1.elb.amazonaws.com (107.23.23.138) 56(84) bytes of data.
64 bytes from ec2-107-23-23-138.compute-1.amazonaws.com (107.23.23.138): icmp_seq=1 ttl=51 time=36.2 ms
64 bytes from ec2-107-23-23-138.compute-1.amazonaws.com (107.23.23.138): icmp_seq=2 ttl=51 time=35.9 ms
^C
--- elb01-2026631704.us-east-1.elb.amazonaws.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1473ms
rtt min/avg/max/mdev = 35.985/36.121/36.258/0.233 ms
[jjbegin@bane ~]$
ПРИМЕЧАНИЕ. Это не работает для балансировщиков сетевой нагрузки (NLB). У них нет групп безопасности, и все пакеты ICMP, кроме типа 3 (пункт назначения недоступен), считаются «непреднамеренным трафиком» и не пересылаются никаким целям. Источник
это возможно в VPC, но нет в наличии EC2.