Also: Die Zielinstanz lässt den Zugriff des Loadbalancers zu (z.B. via Netzfreischaltung) und der Loadbalancer lässt den Zugriff des Endnutzers zu.
Doch: Damit eine Instanz über den Loadbalancer erreichbar wird, musste sie bisher das Netz des Anfragenstellers (im Schaubild als Figur dargestellt) in der Security Group freigeben.
Keine Frage aus diesem Fehler habe ich viel gelernt:
- Im Zweifel steht es in der AWS Dokumentation.
- Übertrage bekanntes Verhalten nicht auf andere Services.
Ich war hierbei keineswegs allein. Noch heute treffe ich in Meetings häufig auf Personen, die felsenfest behaupten, dass die Zielinstanzen nur das NLB-Netz freigeben müssen und dann funktioniere die Verbindung.
Ein Link auf die entsprechende Stelle in der Dokumentation bringt dann häufig Klarheit.
Dies hat nun aufgrund eines neuen Features ein Ende.
AWS hat jetzt eine neue Funktionalität für den NLB veröffentlicht. Neu aufgebaute NLBs können nun eigene Security Groups haben. Hierdurch können die Zielinstanzen nun das zuvor beschriebene “intuitive” Verhalten umsetzen. Dies ermöglicht eine verständlichere Sicherheitskonfiguration.
Die EC2 Instanzen erlauben also den Netzwerkverkehr vom NLB und nicht mehr vom Anfragensteller direkt.
Der NLB kann nun so konfiguriert werden, dass dieser dem Anfragensteller den Zugriff gewährt.
Wenn du Fragen zu diesem oder anderen neuen Features hast, zögere nicht mich direkt zu kontaktieren. Auch wenn du mir mitteilen möchtest, dass es keinen Sinn macht Port 22 über den NLB zu leiten, darfst du mir gerne schreiben.
