準備將 VPC Lattice 目標群組連接到 Auto Scaling 群組 - Amazon EC2 Auto Scaling
安全群組:傳入和傳出規則限制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

準備將 VPC Lattice 目標群組連接到 Auto Scaling 群組

將 VPC Lattice 目標群組連接到 Auto Scaling 群組之前,您必須完成以下先決條件:

  • 您必須已經建立 VPC Lattice 服務網路、服務、接聽程式和目標群組。如需詳細資訊,請參閱《VPC Lattice 使用者指南》中的下列主題:

  • 目標群組必須與您的「Auto Scaling」群組位於相同 AWS 帳戶、VPC 和區域中。

  • 目標群組必須指定 instance 的目標類型。在使用 Auto Scaling 群組時,您無法指定 ip 的目標類型。

  • 您必須擁有足夠的 IAM 許可才能將目標群組連接到 Auto Scaling 群組。下列範例政策顯示連結和分離目標群組所需的最低必要許可。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "autoscaling:AttachTrafficSources",
                "autoscaling:DetachTrafficSources",
                "autoscaling:DescribeTrafficSources",
                "vpc-lattice:RegisterTargets",
                "vpc-lattice:DeregisterTargets"
            ],
            "Resource": "*"
        }
    ]
}

  • 如果 Auto Scaling 群組的啟動範本未包含 VPC Lattice 的正確設定 (例如相容的安全群組),您必須更新啟動範本。修改啟動範本時,現有執行個體不會使用新的設定進行更新。若要更新現有執行個體,您可以啟動執行個體重新整理以取代執行個體。如需詳細資訊,請參閱 使用執行個體重新整理更新 Auto Scaling 群組中的執行個體

  • 在您的 Auto Scaling 群組上啟用 VPC Lattice 運作狀態檢查之前,您可以設定應用程式型運作狀態檢查,以確認應用程式是否按預期回應。如需詳細資訊,請參閱《VPC Lattice 使用者指南》中的目標群組的運作狀態檢查一節。

安全群組:傳入和傳出規則

安全群組就像是防火牆,用於關聯的 EC2 執行個體,可在執行個體層級控制傳入及傳出流量。

注意

網路組態相當複雜,我們強烈建議您建立新的安全群組與 VPC Lattice 搭配使用。如果您需要與他們聯繫,它還可 AWS Support 以更輕鬆地為您提供幫助。以下幾節的內容是假設您遵循此建議而撰寫。

若要深入了解如何為 VPC Lattice 建立可與 Auto Scaling 群組搭配使用的安全群組,請參閱《VPC Lattice 使用者指南》中的使用安全群組控制流量一節。若要對流量問題進行疑難排解,請參閱《VPC Lattice 使用者指南》以取得更多資訊。

如需如何建立安全群組的詳細資訊,請參閱 Amazon EC2 使用者指南中的建立安全群組,並使用下表決定要選取的選項。

選項 Value

名稱

 您容易記住的名稱。

描述

 協助您識別安全群組的描述。

VPC

與 Auto Scaling 群組相同的 VPC。

傳入規則

當您建立安全群組時,它沒有傳入規則。將規則傳入安全群組之前,來自 VPC Lattice 服務網路內用戶端的流量都無法傳入您的執行個體。

若要允許 VPC Lattice 服務網路中的用戶端連結到 Auto Scaling 群組中的執行個體,您必須正確設定 Auto Scaling 群組的安全群組。在這種情況下,請為其提供輸入規則,以允許來自 VPC Ratits 的 AWS 受管理前綴清單名稱的流量,而不是特定 IP 位址。VPC Lattice 字首清單是 VPC Lattice 使用 CIDR 標記法表示的 IP 地址範圍。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用 AWS受管前置詞清單

如需有關如何在安全群組建立規則的詳細資訊,請參閱《Amazon VPC 使用者指南》中的新增規則至安全群組一節,並使用下表判斷要選取哪些選項。

選項 Value

HTTP 規則

類型:HTTP

來源:com.amazonaws.region.vpc-lattice

HTTPS 規則

Type (類型):HTTPS

來源:com.amazonaws.region.vpc-lattice

安全群組具有狀態:它允許從 VPC Lattice 服務網路內的用戶端流量傳送回 Auto Scaling 群組中的執行個體,然後將回應傳回先前離開的用戶端。

傳出規則

根據預設,安全群組會包含允許所有傳出流量的規則。您可以選擇移除此預設規則,並新增傳出規則以符合特定的安全需求。

限制

  • 不支援混合執行個體群組。如果您嘗試將 VPC Lattice 目標群組連接到具有混合執行個體政策的 Auto Scaling 群組,您會收到以下錯誤訊息:具有混合執行個體的 Auto Scaling 群組目前無法與 VPC Lattice 服務整合。這是因為負載平衡演算法會將負載平均分配到所有可用資源上,並假設執行個體足以處理相同的負載。