我的理解是CLB(经典负载均衡器)放在子网中,因此我们为它配置安全组和NACL。
但是,对于ALB(应用程序负载均衡器),我们不配置NACL(网络ACL)。为什么?在建筑上它放在VPC中的哪个位置?
作为扩展,NLB(网络负载均衡器)如何在架构上放置在VPC中?
你能帮我看一下这些组件的部署吗?
ALB可以跨越VPC中的所有子网。它们不直接绑定到子网,而是绑定到TargetGroups,然后它们本身(间接)绑定到子网。
因此,单个ALB理论上可以路由到VPC内的私有子网和公共子网。
因此,并且由于ALB跨越VPC这一事实,它们受益于默认的VPC ACL,该ACL允许VPC内的主机之间的IPV4。您可以在将由ALB / NLB路由到的子网上配置ACL,但在这种情况下,您需要记住自定义ACLS默认关闭所有流量,而不是像VPC一样在默认ACL中打开。
安全组和目标组将ALB隔离到公共或私有区域通常是有意义的,但这是配置而不是架构放置 - 没有什么可以阻止您添加规则以将特定路径或端口路由到公共子网直到那时为止仅为私有子网提供服务的ALB。