Можно ли сделать Load Balancing in AWS если инстанс имеет только private IP?

Question

[Вадим]

Привет всем,

Просто интересно и сообственно говоря вопрос в заголовке... но добавлю, что хочу балансить и фронтэнд... бакэнд можно ли ?!

Без умных советов типа положии фронтэнд на S3 если это фронтэнд выполняется на клиенте итд ))

Answer 1

[Иван Шумов]

Да, все прекрасно работает. Это называется multi-tier load balancing

Первая попавшаяся картинка из интернетов:


Я более того скажу - при использовании ELB иметь публичный IP не только не надо, так и вообще http трафик из интернета к этой сети должен быть закрыт

Comments

[Вадим]

Так в этом и был мой вопрос - можно ли External ALB подключить к Private Network? На картинке как раз таки Public!

[Вадим]

Или ELB )

[Иван Шумов]

Вадим, ALB это ELB) одно сервис, а другое - фича) я же написал что можно. Public это просто subnet в которой трафик роутится через Internet Gateway. Все, никакой магии. Так что в public subnet ставится ELB, а за ним в приватный subnet - инстансы (вернее Target Group)

[Вадим]

Значит можно убрать роут на Internet Gateway из этих Public 1 и 2 и все равно схема будет работать?

[Иван Шумов]

Вадим, конечно. По тому что интернет роут должен идти только на ELB (если не задумано иначе)

Answer 2

[Евгений]

Вообще с точки зрения безопасности крайне рекомендуется разделять сети, и держать приложения и их данные в подсетях к которым нет прямого доступа из интернета
Например(тоже относительно рандомная картинка)
поэтому я бы дополнил ответ Иван Шумов так :
При использовании AWS ELB,ALB или любого другого балансировщика внешней нагрузки (Haproxy,Nginx,etc..) лучше всего ваш VPC организовать так, чтобы все балансируемые сервера находились в приватных подсетях, а в публичной находился только балансировщик, NAT и VPN\Bastion
В базовом случае(использование default VPC) можно ограничить прямой доступ к серверам, как и посоветовал Иван Шумов

Comments

[Иван Шумов]

Все так. В принципе, я просто не углублялся. Вообще человеку было достаточно понять нужны ли public IP для работы за ELB :-D

[Иван Шумов]

Кстати, если уж по хорошему то бастиону делать в том же VPC - нечего)

[Евгений]

Иван Шумов, как показывает моя практика постоянному средству удаленного доступа вообще не стоит существовать :D

[Иван Шумов]

Евгений, в целом да, но не совсем. В некоторых случаях это единственное что спасет. Просто надо этим грамотно управлять