Я пытаюсь достичь следующей архитектуры, изображенной в этом блоге < / а>
У меня есть служба Fargate, использующая ENI (с частным IP-адресом 10.0.241.85), работающая в частной подсети (назовем 'подсеть-1 < / strong> '). ENI также имеет эластичный IP-адрес, так как в противном случае он не может извлечь образ из ECR. Я не думаю, что это будет иметь значение? Контейнер в моем сервисе предоставляет порты 3000/4000. Затем у меня есть шлюз ALB и NAT в общедоступной подсети (назовем эту «подсеть-2»). ALB направляет трафик на портах 80/443 в необходимую целевую группу. Целевая группа имеет 2 зарегистрированных задачи, нацеленных на частный IP-адрес на ENI (1 на порт 3000, а другой на 4000). Насколько мне известно, это должно разрешить движение, верно?
Для исходящего трафика подсеть-1 имеет маршрут по умолчанию (0.0.0.0/0) к шлюзу NAT в подсеть-2, это должно разрешить трафик, верно?
Все службы находятся в одном VPC и одной зоне доступности (где применимо)
У меня есть 2 группы безопасности, используемые этими службами:
- тест
- API
Мы используем эфемерные порты для связи между двумя группами безопасности.
ПРИМЕЧАНИЕ. Я удалил здесь пункт назначения, но да, это тестовая группа безопасности.
| Service | Security Groups |
|---------|-----------------|
| ENI | test |
| | api |
|---------|-----------------|
| ALB | api |
|---------|-----------------|
ПРИМЕЧАНИЕ. Охваченный маршрут - это просто одноранговое соединение, поэтому здесь нет ничего общего
Насколько я знаю, две подсети должны иметь возможность связываться с использованием частных IP-адресов служб внутри них, что я и сделал здесь.
Проверка работоспособности не выполняется с общим сообщением:
Не удалось выполнить проверку работоспособности ELB
Я также просмотрел этот блог для еще немного помощи, но безрезультатно.
Любая помощь будет принята с благодарностью :)