我有一个网络负载均衡器,它应该将一些 TCP 请求转发到应用程序负载均衡器(特别是 ELB)。 为此,我创建了一个目标类型==应用程序负载均衡器的目标组,并在 ELB 上设置了一个侦听器 + 安全组来接受这些转发的请求。
由于某种原因,我还没有弄清楚,即使我将 ELB 规则设置为仅对任何传入请求返回固定的 200 响应,所述目标组的运行状况检查也会不断失败:/
据我所知,听众、健康检查、安全组,所有这些都包括在内。端口应排列整齐以便相互协作。 ELB 背后的所有“通常”目标群体都是健康的并且按预期工作。
目标组未提供运行状况检查失败的任何详细信息(一般“不健康”状态和“运行状况检查失败”消息)。
到目前为止,我发现的唯一(可能的)线索是在 ELB 的访问日志中,其中包含一些来自看似随机 IP 的请求,没有 http 方法,没有内容(长度为 0),并且它们立即被 ELB 拒绝,http 400 没有将请求发送到任何目标。不确定这些是否是健康检查,但即使为它们设置固定的响应规则也没有解决任何问题。
我尝试了类似问题中提供的两个答案(确保通过端口 443 上的 https 执行运行状况检查,并且安全组允许 NLB 和 ALB 之间任何可能的流量),但无济于事。
事实证明我又瞎又笨,因为我缺少 NLB 安全组中允许流量从 NLB 流向 ALB 的传出规则。
我错过的第二件事是,将流量转发到相关目标组的侦听器的安全策略选择错误 - 在撰写本文时,仅 TLS 1.3 似乎在 NLB 源上失败。 (这部分的功劳归于 Reddit 上的 u/bluesoul)