Где находится Application Load Balancer в VPC?
Насколько я понимаю, CLB (Classic Load Balancer) находится в подсети, и поэтому мы настраиваем Security Group и NACL для него.
Однако, когда дело доходит до ALB (Application Load Balancer), мы не настраиваем NACL (сетевой ACL). Зачем? Архитектурно, где это размещено в VPC?
Как расширение, как NLB (Network Load Balancer) архитектурно размещен в VPC?
Можете ли вы помочь мне визуализировать развертывание этих компонентов?
1 ответ
ALB могут охватывать все подсети в VPC. Они не связаны напрямую с подсетями, а скорее с целевыми группами, которые сами затем (косвенно) связаны с подсетями.
Таким образом, один ALB теоретически может маршрутизировать как частные, так и публичные подсети в пределах VPC.
Из-за этого, а также из-за того, что ALB охватывают VPC, они получают преимущество от ACL по умолчанию VPC, который разрешает IPV4 между хостами в VPC. Вы можете настроить ACL в подсетях, которые будут маршрутизироваться ALB/NLB, но в этом случае вам нужно помнить, что пользовательские ACLS по умолчанию закрыты для всего трафика, а не открыты в VPC, как ACL по умолчанию.
Обычно имеет смысл разделять ваши ALB на открытые или закрытые зоны по группам безопасности и целевой группе, но это конфигурация, а не размещение архитектуры - ничто не мешает вам добавить правило для маршрутизации определенных путей или портов в общедоступную подсеть из ALB, который до этого времени обслуживал только частные подсети.