我有一些 Web 应用程序,前面有一个应用程序负载均衡器。它们只能通过分割隧道 VPN 进行访问。问题是我们使用 VPN 分割隧道来仅路由通过隧道的流量(意味着某些 IP 地址)。由于 ALB 不能与 EIP 一起使用,因此我们必须将 NLB 放在 ALB 前面。
检查日志文件,我们可以看到ALB只能看到NLB的私有IP,因此附加到ALB的安全组不起作用。
我的问题是我们如何为 ALB 配置 ALB/NLB 以查看请求的 IP,以便附加到 ALB 的安全组可以工作?
不确定 ALB,但是,您可以在 NLB 目标组上启用代理协议,将 NGINX 放在 NLB 和 ALB 之间并过滤 NGINX 中的流量。
在 NLB 目标组上启用代理协议:https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html#proxy-protocol
在nginx中接受PROXY协议: https://docs.nginx.com/nginx/admin-guide/load-balancer/using-proxy-protocol/
您不必再使用 IP,因为您可以简单地使用带有 NLB 的安全组
更新[2023年8月]
现在您可以将安全组与 NLB 结合使用
https://aws.amazon.com/about-aws/whats-new/2023/08/network-load-balancer-supports-security-groups/