为网络负载均衡器注册目标 - Elastic Load Balancing

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为网络负载均衡器注册目标

当您的目标准备好处理请求时,您将其注册到一个或多个目标组。目标组的目标类型将确定如何注册目标。例如,您可以注册实例IDs、IP 地址或 Application Load Balancer。只要注册过程完成且目标通过初始运行状况检查,Network Load Balancer 就会开始将请求路由至目标。完成注册过程和开始运行状况检查可能需要几分钟时间。有关更多信息,请参阅 网络负载均衡器目标组的运行状况检查

如果当前已注册目标的需求增加,您可以注册其他目标以便满足该需求。如果对已注册目标的需求减少,您可以从目标组中取消注册目标。完成取消注册过程和负载均衡器停止将请求路由到目标可能需要几分钟时间。如果需求随后增加,您可以再次向目标组注册已取消注册的目标。如果您需要为目标提供服务,您可以取消注册,然后在服务完成后重新注册。

在取消注册目标时,Elastic Load Balancing 会一直等待,直到进行中的请求完成。这称作连接耗尽。在连接耗尽期间,目标的状态为 draining。在取消注册完成后,目标的状态将更改为 unused。有关更多信息,请参阅 取消注册延迟

如果要通过实例 ID 来注册目标,则可以将负载均衡器与 Auto Scaling 组一同使用。将目标组挂接到 Auto Scaling 组并且该组扩展后,由 Auto Scaling 组启动的实例将自动在目标组中注册。如果您将负载均衡器与 Auto Scaling 组分离,则实例会自动从目标组中取消注册。有关更多信息,请参阅 Amazon Auto Scaling 用户指南中的将负载均衡器附加到 A EC2 uto Scaling

目标安全组

在将目标添加到目标组之前,请将与目标关联的安全组配置为接受来自网络负载均衡器的流量。

对目标安全组的建议(如果负载均衡器有与之关联的安全组)
  • 允许客户端流量:添加规则,其引用与负载均衡器关联的安全组

  • 允许 PrivateLink 流量:如果您将负载均衡器配置为评估通过流量的入站规则 AWS PrivateLink,请添加一条规则,在流量端口上接受来自负载均衡器安全组的流量。否则,添加规则,其在流量端口上接受来自负载均衡器私有 IP 地址的流量。

  • 接受负载均衡器运行状况检查:添加规则,其在运行状况检查端口上接受来自负载均衡器安全组的运行状况检查流量。

对目标安全组的建议(如果负载均衡器没有与安全组关联)
  • 允许客户端流量:如果负载均衡器保留客户端 IP 地址,则添加规则,其在流量端口上接受来自已批准客户端 IP 地址的流量。否则,添加规则,其在流量端口上接受来自负载均衡器私有 IP 地址的流量。

  • 允许 PrivateLink 流量:添加一条规则,在流量端口上接受来自负载均衡器私有 IP 地址的流量。

  • 接受负载均衡器运行状况检查:添加规则,其在运行状况检查端口上接受来自负载均衡器私有 IP 地址的运行状况检查流量。

客户端 IP 保留的工作原理

除非将 preserve_client_ip.enabled 属性设置为 true,否则网络负载均衡器不会保留客户端 IP 地址。此外,使用双栈网络负载均衡器,我们在将地址转换为IPv4时保留客户端 IP 地址。IPv6但是,将IPv6地址转换为IPv4源 IP 时,始终是 Network Load Balancer 的私有 IP 地址。

使用控制台查找负载均衡器私有 IP 地址
  1. 打开亚马逊EC2控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择 Network Interfaces

  3. 在搜索字段中,输入 Network Load Balancer 的名称。每个负载均衡器的子网有一个网络接口。

  4. 在每个网络接口的详细信息选项卡上,从私有地址复制IPv4地址

有关更多信息,请参阅 更新网络负载均衡器的安全组

网络 ACLs

将EC2实例注册为目标时,必须确保实例的子网网络ACLs允许侦听器端口和运行状况检查端口上的流量。的默认网络访问控制列表 (ACL) VPC 允许所有入站和出站流量。如果您创建自定义网络ACLs,请确认它们允许适当的流量。

与您的实例子网ACLs关联的网络必须允许面向互联网的负载均衡器的以下流量。

实例子网的推荐规则
Inbound
协议 端口范围 评论
Client IP addresses listener target port 允许客户端流量(IP 保留:ON
VPC CIDR listener target port 允许客户端流量(IP 保留:OFF
VPC CIDR health check health check 允许运行状况检查流量
Outbound
目标位置 协议 端口范围 评论
Client IP addresses listener 1024-65535 允许向客户端返回流量(IP 保留:ON
VPC CIDR listener 1024-65535 允许向客户端返回流量(IP 保留:OFF
VPC CIDR health check 1024-65535 允许运行状况检查流量

与您的负载均衡器的子网ACLs关联的网络必须允许面向 Internet 的负载均衡器的以下流量。

负载均衡器子网的推荐规则
Inbound
协议 端口范围 评论
Client IP addresses listener listener 允许客户端流量
VPC CIDR listener 1024-65535 允许来自目标的响应
VPC CIDR health check 1024-65535 允许运行状况检查流量
Outbound
目标位置 协议 端口范围 评论
Client IP addresses listener 1024-65535 允许回复客户端
VPC CIDR listener target port 允许向目标发出请求
VPC CIDR health check health check 允许对目标进行运行状况检查

对于内部负载均衡器,您的实例和负载均衡器节点的子网网络ACLs必须允许通过侦听器端口和临时端口进出和来自的入站和出站流量。VPC CIDR

共享子网

参与者可以在共享环境中创建 Network Load Balancer VPC。参与者不能注册在未与他们共享的子网中运行的目标。

所有 AWS 区域都支持网络负载均衡器的共享子网,但不包括:

  • 亚太地区(大阪)ap-northeast-3

  • 亚太地区(香港)ap-east-1

  • 中东(巴林)me-south-1

  • AWS中国(北京)cn-north-1

  • AWS中国(宁夏)cn-northwest-1

注册或取消注册目标

每个目标组在为负载均衡器启用的每个可用区中必须至少有一个已注册目标。

您的目标组的目标类型将确定如何向该目标组注册目标。有关更多信息,请参阅 Target type

要求和注意事项
  • 如果实例使用以下实例类型之一,则无法按实例 ID 注册实例:C1、、、、、CC1CC2、G1 CG1 CG2、G2 CR1、、、、M1 HI1、M2 HS1、M3 或 T1。

  • 按实例 ID 为IPv6目标组注册目标时,必须为目标分配主IPv6地址。要了解更多信息,请参阅 Amazon EC2 用户指南中的IPv6地址

  • 按实例 ID 注册目标时,实例必须与 Network Load Balancer 位于同一个亚马逊VPC中。如果实例位于与负载均衡器对等的VPC(相同区域或不同区域)中,则无法按实例 ID 注册实例。VPC可以用 IP 地址注册这些实例。

  • 如果您通过 IP 地址注册目标,并且该 IP 地址与负载均衡器VPC相同,则负载均衡器会验证它是否来自可以访问的子网。

  • 对于UDP和 TCP _ UDP 目标组,如果实例位于负载均衡器之外VPC或使用以下实例类型之一,则不要按 IP 地址注册实例:C1、、、、、、G1 CC1 CC2 CG1、G2 CG2、CR1、、、、、M1 HI1、M2 HS1、M3 或 T1。位于负载均衡器外部VPC或使用不支持的实例类型的目标可能能够接收来自负载均衡器的流量,但随后无法响应。

通过实例 ID 注册或取消注册目标

当您注册实例时,实例必须处于 running 状态。

使用控制台按实例 ID 注册或取消注册目标
  1. 打开亚马逊EC2控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的负载均衡下,选择目标组

  3. 选择目标组的名称以打开其详细信息页面。

  4. 选择目标选项卡。

  5. 要注册实例,请选择注册目标。选择一个或多个实例,根据需要输入默认实例端口,然后选择在下面以待注册的形式添加。添加完实例后,选择注册待注册目标

    注意:

    • 必须为实例分配主IPv6地址才能向IPv6目标组注册。

    • AWS GovCloud (US) Region s 不支持使用控制台分配主IPv6地址。必须使用在 API AWS GovCloud (US) Region s 中分配主IPv6地址。

  6. 要取消注册实例,请选择实例,然后选择取消注册

通过 IP 地址注册或取消注册目标

IPv4目标

您注册的 IP 地址必须来自以下CIDR区块之一:

  • 目标组VPC的子网

  • 10.0.0.0/8 (1918) RFC

  • 100.64.0.0/10 (6598) RFC

  • 172.16.0.0/12 (1918) RFC

  • 192.168.0.0/16 (1918) RFC

创建目标组后,无法更改 IP 地址类型。

VPC作为参与者在共享的 Amazon 中启动 Network Load Balancer 时,您只能在已与您共享的子网中注册目标。

IPv6目标
  • 您注册的 IP 地址必须位于VPCCIDR区块内或对等VPCCIDR区块内。

  • 创建目标组后,无法更改 IP 地址类型。

  • 您只能将IPv6目标组与双栈负载均衡器TCP或监听器相关联。TLS

使用控制台按 IP 地址注册或取消注册目标
  1. 打开亚马逊EC2控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的负载均衡下,选择目标组

  3. 选择目标组的名称以打开其详细信息页面。

  4. 选择 Targets (目标) 选项卡。

  5. 要注册 IP 地址,请选择注册目标。对于每个 IP 地址,选择网络、可用区、IP 地址(IPv4或IPv6)和端口,然后在下面选择 “包含为待处理”。指定完地址后,选择注册待注册目标

  6. 要注销 IP 地址,请选择 IP 地址,然后选择取消注册。如果您有多个注册的 IP 地址,则可能会发现添加筛选器或更改排序顺序很有帮助。

使用 AWS CLI注册或取消注册目标

使用 register-targets 命令添加目标,并使用 deregister-targets 命令删除目标。