我的理解是CLB(经典负载均衡器)放在子网中,因此我们为它配置安全组和NACL。
但是,对于ALB(应用程序负载均衡器),我们不配置NACL(网络ACL)。为什么?在建筑上它放在VPC中的哪个位置?
作为扩展,NLB(网络负载均衡器)如何在架构上放置在VPC中?
您能帮我看一下这些组件的部署吗?
答案 0 :(得分:3)
ALB可以跨越VPC中的所有子网。它们不直接绑定到子网,而是绑定到TargetGroups,然后TargetGroups(间接)绑定到子网。
因此理论上,单个ALB可以路由到VPC内的私有子网和公共子网。
正因为如此,并且由于ALB跨越VPC这一事实,它们受益于默认的VPC ACL,该ACL允许VPC内的主机之间的IPV4。您可以在将由ALB / NLB路由到的子网上配置ACL,但在这种情况下,您需要记住自定义ACLS默认关闭到所有流量,而不是像VPC那样在默认ACL中打开。
通过安全组和目标组将ALB隔离到公共或私有区域通常是有意义的,但这是配置而不是架构放置 - 没有什么可以阻止您添加规则来将特定路径或端口路由到来自ALB的公有子网,直到那时才为私有子网服务。