内部和面向 Internet 的 Elastic Load Balancing

Question

我们正在尝试在 AWS 中使用 Elastic Load Balancing 和自动缩放功能，以便我们可以根据需要进行缩放。

我们的应用程序由几个较小的应用程序组成，它们都在同一个子网和同一个 VPC 上。

我们希望将 ELB 放在我们的一个应用和其他应用之间。

问题是我们希望负载均衡器在使用 API 的不同应用程序之间在内部同时面向互联网工作，因为我们的应用程序仍然有一些应该使用的用途在外部完成，而不是通过 API。

我已经阅读了这个question，但我无法从那里确切地知道如何做到这一点，它并没有真正指定任何步骤，或者我确实非常了解它。

我们可以有一个内部和外部的 ELB 吗？

为了记录，我只能通过 VPN 访问这个网络。

Answer 1

我创建了一个 Lambda 函数，用于检查哪些私有 IP 设置为负载均衡器，并在更改时更新 Route53 记录：https://github.com/Bramzor/lambda-sync-private-elb-ips

使用此功能，您可以轻松利用 ELB 进行私有流量。我个人使用它通过 VPC 区域间对等互连将多个区域相互连接，而无需额外的 ELB。

Answer 2

我面临同样的挑战，我可以确认目前最好的解决方案是拥有两个不同的 ALB，一个面向 Internet，另一个是内部的。您可以将两个 ALB 附加到单个 AutoScaling 组，以便您可以访问同一个集群。

确保两个 ALB 的网络选项（子网、安全组）相同，以便它们访问相同的集群实例。自动缩放和启动配置与连接到同一 AutoSacling 组的两个 ALB 无缝协作。这也适用于从 ElasticBeanstalk 环境创建的 ALB。

Answer 3

标准的 AWS 解决方案是为此配备一个额外的内部 ELB。 看起来@DaryL 有一个有趣的解决方法，但如果不更新 DNS，它可能会失败 5 分钟。此外，由于内部 IP 共享 ENI 和 ELB 外部 IP 的安全性，因此无法为内部 IP 设置单独的安全组。

Answer 4

我不同意@MattHouser 的回答。实际上，在 VPC 中，您的 ELB 的所有内部接口都列在具有公共 IP 和主要私有 IP 的网络接口中。 我已经测试了我的公共 ELB 的私有 IP，它的工作方式与外部 IP 完全一样。

问题是：这些 IP 没有像私有 ELB DNS 那样以最新的方式在任何地方列出。所以你必须自己做。

我为此制作了一个小 POC 脚本，带有一个内部 Route53 托管区域：https://gist.github.com/darylounet/3c6253c60b7dc52da927b80a0ae8d428

Answer 5

弹性负载均衡器不可能同时具有公共 IP 地址和私有 IP 地址。它是其中之一，但不是两者兼而有之。

如果你想让你的 ELB 有一个私有 IP 地址，那么它就不能监听来自互联网的请求。

如果您的 ELB 是面向公众的，您仍然可以使用公共端点从您的内部 EC2 实例调用它。但是，有一些注意事项：

• 流量将退出您的 VPC 并重新进入。私有 IP 地址不会为您提供直接的实例到 ELB 连接。
• 您也不能在安全组规则中使用安全组。

有 3 种替代方案：

1. 复制 ELB 和 EC2 实例，一个专用于私有流量，一个专用于公共流量。
2. 有 2 个 ELB（一个公共，一个私有）共享相同的后端 EC2 实例。
3. 不要将 ELB 用于私有或公共流量，而是在单个 EC2 实例上使用弹性 IP 地址（如果是公共的）或私有 IP 地址（如果是私有的）。