VPC公有子网和私有子网是VPC基础知识,不过一般通过使用经验来学习,缺少直接的说明材料。这里以一张图介绍最佳实践。
以上图为例,分别划分:
- 公有子网,允许分配EIP,路由表
0.0.0.0/0指向IGW - 私有子网,无EIP,但允许通过NAT访问互联网,路由表
0.0.0.0/0指向NAT Gateway - 内部子网,无EIP,不允许上外网,路由表中没有
0.0.0.0/0这一条,也就无法通过NAT Gateway上外网
由于内部子网没有互联网流量,远程登录管理不方便,测试可使用Session Manager或者EC2 Instance Connect二者之一,借助他们的VPC Endpoint即可远程登录位于内部子网的EC2。
在这样的基础VPC环境下,面向互联网发布的Internet-facing的ELB负载均衡器配置如下:
- ELB创建时候选择绑定子网,必须选择在公有子网
- EC2应用服务器位于Target group目标组中,他们可以在是私有子网,也可以在内部子网,二者均可
以上配置,ALB和NLB均可正常工作。ALB和NLB的目标组无论为Instanc类型还是IP类型,均可正常工作。