LoginSignup
2
1
@infra365

AWS PrivateLinkでNLBに接続する際、最低限必要なセキュリティグループのルール

Posted at

結論

pvlink6.png

備考

備考の方が長くなりました。
TCPリスナーでパススルー構成となるため、EC2のSecurity Group C192.168.1.10/32:80が必要そうだがなくても大丈夫。なぜならPrivateLink経由でNLBにアクセスする場合は、NLBで送信元IPが書き換わって、EC2にアクセスするのはNLBのIPになるから。

pvlink2.png

ちなみにPrivateLinkを使用しない場合はNLBでアドレスは書き換わらない。
※デフォルト設定の「クライアントIPアドレスの保持」が「有効」な場合。「無効」するとNLBのIPアドレスに書き換わる。

pvlink3.png

PrivateLink経由の接続の場合、「クライアントIPアドレスの保持」が「有効」でも「無効」でもNLBのIPアドレスに書き換わる。クライアントのIPアドレスを保持したい場合はProxy Protocolを有効にする。
pvlink4.png

その場合、nginx側のログフォーマットに$proxy_protocol_addrの追加が必要

pvlink5.png

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
1