【问题标题】:AWS loadbalancer Egress rule confusionAWS 负载均衡器出口规则混乱
【发布时间】:2019-10-02 10:37:42
【问题描述】:
我有 4 台服务器和一个负载均衡器(类型:AWS::ElasticLoadBalancingV2::LoadBalancer)。我在服务器安全组的入口规则中有端口 80,在出口规则中有 0-65535。在用于入口规则的 LoadBalancer 安全组中,任何端口都可以工作,但是如果我将出口规则端口的端口从 80 更改为任何其他端口,我的负载平衡器将不起作用。对于出口规则中的 80 端口,它可以完美运行。
假设总是80吗?还是我的设置有问题?我对 AWS 很陌生,希望能提供任何帮助。提前致谢。
【问题讨论】:
标签:
amazon-web-services
aws-security-group
aws-load-balancer
【解决方案1】:
通常负载均衡器会向公众公开端口 80 和 443,但您可以公开其他端口,但对于 Web 应用来说,最好只使用这两个端口。
但如果我将出口规则端口的端口从 80 更改为任何其他端口,我的
负载均衡器不起作用。对于出口规则中的 80 端口,它可以工作
完美。
这是它停止工作的两个原因
- 应用程序正在监听端口
80
- 负载均衡器监听端口绑定
80
在负载均衡器等正常情况下,您不应更改出口或出站规则。
负载均衡器安全组的推荐规则
负载平衡器的安全组必须允许它们
与您的实例进行通信。推荐的规则取决于
负载均衡器的类型(面向 Internet 的或内部的)。
elb-security-groups
【解决方案2】:
这是预期的行为。您的负载均衡器正在端口 80 上与您的实例通信。因此它需要出站规则以允许您与实例建立连接。如果您更改/删除端口,您的负载均衡器将失去与底层主机的连接,因此不会提供任何流量。
As per the documentation
每当您向负载均衡器添加侦听器或更新运行状况时
检查负载均衡器用于路由的目标组的端口
请求,您必须验证与
负载平衡器允许新端口上的双向流量。
假设总是80?
不,这取决于负载均衡器与附加实例通信的端口。在您的情况下,实例正在侦听端口 80。