Amazon Network Load Balancerでは、ターゲット・グループのノード上でポート80を公開する必要がありますか？

Question

私はapache httpdで動作しているウェブサイトを持っています。 2つのWebノードがNetwork Load Balancerの下に追加されます。 2つのWebノードのポート80をデフォルトのセキュリティグループまたはVPC CIDR範囲に対してのみ開くと、Webサイトは機能しません。しかし、ポート80を完全に0.0.0.0/0開いた場合、それは動作します。

これはClassic ELBのケースではありませんでした。ここで何か間違っているのか、Network Load Balancerのデフォルトの動作ですか？

Answer 1

ネットワーク負荷分散装置の性質上、トラフィックは送信元IPアドレスを保持して直接ターゲットインスタンスに渡されます。したがって、ターゲットインスタンス（およびそのセキュリティグループ）に対して、トラフィックはインターネットからまっすぐに来ているように見えます。したがって、パブリックアクセスを許可するようにターゲットインスタンスのセキュリティグループを構成する必要があります。

多くの人がこれについて不満を感じていますが、Amazonが今後他のロードバランサのように動作するようにNLBを更新しても驚くことはありませんが、NLBが設計されているため。

ポート80を使用している場合は、これがHTTP用であると想定していますか？ Application Load Balancerを代わりに使用し、探しているセキュリティグループ機能とSSL終了のようなものを取得してみましょう。