ターゲットグループへのターゲットの登録
ターゲットがリクエストを処理する準備ができたら、そのターゲットを 1 つ以上のターゲットグループに登録します。ターゲットグループのターゲットタイプにより、ターゲットを登録する方法が決定されます。たとえば、インスタンス ID、IP アドレス、または Application Load Balancer を登録できます。登録処理が完了し、ターゲットが最初のヘルスチェックに合格すると、Network Load Balancer はすぐにターゲットへのリクエストのルーティングを開始します。登録プロセスが完了し、ヘルスチェックが開始されるまで数分かかることがあります。詳細については、「」を参照してくださいターゲットグループのヘルスチェック
現在登録されているターゲットの需要が上昇した場合、需要に対応するために追加ターゲットを登録できます。登録されたターゲットの需要が減少した場合は、ターゲットグループからターゲットの登録を解除できます。登録解除プロセスが完了し、ロードバランサーがターゲットへのリクエストのルーティングを停止するまで数分かかることがあります。その後需要が増加した場合は、登録解除したターゲットをターゲットグループに再度登録できます。ターゲットをサービスする必要がある場合は、そのターゲットを登録解除し、サービスの完了時に再度登録できます。
ターゲットを登録解除すると、Elastic Load Balancing は未処理のリクエストが完了するまで待機します。これは、Connection Drainingと呼ばれます。Connection Drainingの進行中、ターゲットのステータスは draining
です。登録解除が完了すると、ターゲットのステータスは unused
に変わります。詳細については、「」を参照してください登録解除の遅延
インスタンス ID でターゲットを登録する場合は、Auto Scaling グループでロードバランサーを使用できます。Auto Scaling グループにターゲットグループをアタッチし、そのグループがスケールアウトすると、Auto Scaling グループによって起動されたインスタンスが自動的にターゲットグループに登録されます。Auto Scaling グループからロードバランサーをデタッチした場合、インスタンスはターゲットグループから自動的に登録解除されます。詳細については、 Amazon EC2 Auto Scaling ユーザーガイドのAuto Scaling グループへのロードバランサーのアタッチを参照してください。
ターゲットセキュリティグループ
EC2 インスタンスをターゲットとして登録する場合は、これらのインスタンスのセキュリティグループがリスナーポートとヘルスチェックポートの両方でトラフィックを許可していることを確認する必要があります。
考慮事項
-
Network Load Balancer には関連付けられたセキュリティグループがありません。したがって、ターゲットのセキュリティグループは、トラフィックを許可するために IP アドレスを使用する必要があります。
-
クライアントのセキュリティグループを、ターゲットのセキュリティグループのソースとして使用することはできません。したがって、ターゲットのセキュリティグループは、トラフィックを許可するためにクライアントの IP アドレスを使用する必要があります。
クライアント IP の保存が有効な場合の推奨ルール
クライアント IP の保存が有効になっているターゲットのセキュリティグループに対して推奨されるルールを以下に示します。
インバウンドルール | |||
---|---|---|---|
ソース | プロトコル | ポート範囲 | [Comment] (コメント) |
クライアント CIDR |
target |
target |
Allow traffic from your application, your network, or the internet |
VPC CIDR |
ヘルスチェック |
ヘルスチェック |
Allow health check traffic from the load balancer |
クライアント IP の保存が無効な場合の推奨ルール
クライアント IP の保存が無効になっているターゲットのセキュリティグループに対して推奨されるルールを以下に示します。
インバウンドルール | |||
---|---|---|---|
ソース | プロトコル | ポート範囲 | コメント |
VPC CIDR
|
target |
target |
Allow traffic from the load balancer VPC † |
VPC CIDR |
ヘルスチェック |
ヘルスチェック |
Allow health check traffic from the load balancer |
† ターゲットを IP アドレスで登録し、VPC CIDR 全体へのアクセスを許可しない場合は、ロードバランサーノードによって使用されるプライベート IP アドレスへのアクセスを許可できます。ロードバランサーのサブネットあたり 1 つの IP アドレスがあります。これらのアドレスを見つけるには、次の手順を使用します。
許可するプライベート IP アドレスを見つけるには
-
Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/
) を開きます。 -
ナビゲーションペインで、[Network Interfaces] を選択します。
-
検索フィールドに、Network Load Balancer の名前を入力します。ロードバランサーのサブネットあたり 1 つのネットワークインターフェイスがあります。
-
各ネットワークインターフェイスの [Details (詳細)] タブで、[プライマリプライベート IPv4] からアドレスをコピーします。
ネットワーク ACL
EC2 インスタンスをターゲットとして登録する場合は、インスタンスのサブネットのネットワーク ACL をチェックして、リスナーポートとヘルスチェックポートの両方でトラフィックを許可していることを確認する必要があります。VPC のデフォルトネットワークアクセスコントロールリスト (ACL) では、すべてのインバウンドトラフィックとアウトバウンドトラフィックが許可されます。カスタムネットワーク ACL を作成する場合は、適切なトラフィックを許可していることを確認してください。
インスタンスのサブネットに関連付けられているネットワーク ACL では、インターネット向けロードバランサーの次のトラフィックを許可する必要があります。
Inbound | |||
---|---|---|---|
送信元 | プロトコル | ポート範囲 | コメント |
クライアント IP アドレス |
リスナー |
リスナー |
Allow client traffic (インスタンス target type) |
VPC CIDR |
リスナー |
リスナー |
Allow client traffic (ip target type) |
VPC CIDR |
ヘルスチェック |
ヘルスチェック |
Allow health check traffic from the load balancer |
Outbound | |||
送信先 | プロトコル | ポート範囲 | コメント |
クライアント IP アドレス |
リスナー |
リスナー |
Allow responses to clients (インスタンス target
type) |
VPC CIDR |
リスナー |
リスナー |
Allow responses to clients (ip target type) |
VPC CIDR |
ヘルスチェック |
1024-65535 | Allow health check traffic |
ロードバランサーのサブネットに関連付けられているネットワーク ACL では、インターネット向けロードバランサーの次のトラフィックを許可する必要があります。
Inbound | |||
---|---|---|---|
送信元 | プロトコル | ポート範囲 | コメント |
クライアント IP アドレス |
リスナー |
リスナー |
Allow client traffic (インスタンス target type) |
VPC CIDR |
リスナー |
リスナー |
Allow client traffic (ip target type) |
VPC CIDR |
ヘルスチェック |
1024-65535 | Allow health check traffic |
Outbound | |||
送信先 | プロトコル | ポート範囲 | コメント |
クライアント IP アドレス |
リスナー |
リスナー |
Allow responses to clients (インスタンス target
type) |
VPC CIDR |
リスナー |
リスナー |
Allow responses to clients (ip target type) |
VPC CIDR |
ヘルスチェック |
ヘルスチェック |
Allow health check traffic |
VPC CIDR |
ヘルスチェック |
1024-65535 | Allow health check traffic |
内部ロードバランサーの場合、インスタンスおよびロードバランサーノードのサブネットのネットワーク ACL は、リスナーポートおよび一時ポートにおいて、VPC CIDR とやり取りされるインバウンドトラフィックとアウトバウンドトラフィックの両方を許可する必要があります。
ターゲットの登録または登録解除
各ターゲットグループでは、ロードバランサーが有効になっている各アベイラビリティーゾーンで少なくとも 1 つのターゲットが登録されている必要があります。
ターゲットグループのターゲットの種類により、ターゲットグループにターゲットを登録する方法が決定されます。詳しくは、「[Target type (ターゲットタイプ)]」を参照してください。
要件と考慮事項
-
インスタンスで使用されているインスタンスタイプが C1、CC1、CC2、CG1、CG2、CR1、G1、G2、HI1、HS1、M1、M2、M3、T1 のいずれかである場合、インスタンス ID でインスタンスを登録することはできません。
-
ロードバランサー VPC (同じリージョンまたは異なるリージョン) とピア接続されている VPC にインスタンスがある場合、そのインスタンスをインスタンス ID で登録することはできません。このようなインスタンスは IP アドレスで登録できます。
-
ターゲットを IP アドレスで登録し、その IP アドレスがロードバランサーと同じ VPC にある場合、ロードバランサーは、到達可能なサブネットからターゲットがアクセスしていることを確認します。
-
UDP および TCP_UDP ターゲットグループの場合、インスタンスがロードバランサー VPC の外部に存在するか、インスタンスタイプとして C1、CC1、CC2、CG1、CG2、CR1、G1、G2、HI1、HS1、M1、M2、M3、T1 のいずれかを使用しているときは、IP アドレスでインスタンスを登録しないでください。ロードバランサー VPC の外部に存在するか、サポートされていないインスタンスタイプを使用するターゲットは、ロードバランサーからのトラフィックを受信できても、応答できない場合があります。
インスタンス ID によるターゲットの登録または登録解除
インスタンスの登録時の状態は running
である必要があります。
IP アドレスによるターゲットの登録または登録解除
IPv4 ターゲット
登録する IP アドレスは、次のいずれかの CIDR ブロックからのものである必要があります。
-
ターゲットグループの VPC のサブネット
-
10.0.0.0/8 (RFC 1918)
-
100.64.0.0/10 (RFC 6598)
-
172.16.0.0/12 (RFC 1918)
-
192.168.0.0/16 (RFC 1918)
ターゲットグループの作成後に IP アドレスのタイプを変更することはできません。
参加者として共有 Amazon VPC で Network Load Balancer を起動した場合、登録できるのは、共有されているサブネット内のターゲットだけです。
IPv6 ターゲット
-
登録する IP アドレスは、VPC CIDR ブロック内、またはピア接続された VPC CIDR ブロック内にある必要があります。
-
ターゲットグループの作成後に IP アドレスのタイプを変更することはできません。
-
IPv6 ターゲットグループは、TCP または TLS リスナーを使用するデュアルスタックロードバランサーにのみ関連付けることができます。
AWS CLI を使用してターゲットを登録または登録解除する
ターゲットを追加するには register-targets コマンドを使用し、ターゲットを削除するには deregister-targets コマンドを使用します。