Amazon web services 无法连接到面向internet的NLB，将流量转发到专用实例

我已经用以下配置配置了一个云

VPC在两个可用性区域中具有公用和专用子网。公用子网配置了internet网关，而专用子网配置了NAT网关

面向internet的网络负载平衡器，允许在两个可用性区域中配置TCP流量

转发来自负载平衡器的流量的目标组

专用子网中的EC2实例，配置为在端口80处侦听haproxy。它的安全组配置为在端口80处接受来自配置NLB的两个子网的TCP流量

已将此实例添加到目标组，状态为健康

当我尝试点击NLB DNS时，它会给我“连接超时”错误。我希望当我点击NLB DNS时，它会将我转发到私有实例。我已经检查了许多AWS文档，但仍然找不到解决此问题的方法。如果这还不够，请随时询问更多信息

它的安全组配置为在端口80处接受来自配置NLB的两个子网的TCP流量

当通过实例id注册目标时，面向Internet的NLB后面的实例的安全组需要允许来自0.0.0.0/0的流量——或者需要通过平衡器访问它们的任何公共IP地址范围——而不仅仅是平衡器的子网（用于健康检查）

如果目标类型是实例，请向安全组添加一条规则，以允许从负载平衡器和客户端到目标IP的流量

---

与ALB和经典平衡器不同，NLB流量具有外部客户端的源地址，当目标通过实例id配置时，这是安全组匹配的地址。

它起作用了。我在实例的安全组中配置了我的ip。因此，如果我想从任何地方允许NLB访问，我必须在安全组中添加0.0.0.0。我正在尝试创建一个安全连接，其中我的实例是完全私有的。如果我在私有子网上的任何位置为该实例打开HTTP通信，我将如何满足安全要求？@bot如果您的实例位于私有子网上，并且没有公共IP地址（这没有意义——它位于私有子网上），则此配置完成以下任务：该实例只能通过NLB访问。当然，如果您正在使用HTTP，那么HAProxy也可以在ALB后面很好地工作，并且通过该设置，您可以使用更传统的设置，其中平衡器有自己的SG，实例SG只允许来自ALB的流量。你不需要NLB在这里，除非你正在做一些先进的东西，如MTL。谢谢你的额外信息。这很有帮助。非常感谢您提供的信息，在AWS文档中很难找到这些信息。老实说，我不明白为什么安全组需要允许来自NLB和客户端的流量。