Registrar destinos para o Network Load Balancer - Elastic Load Balancing
Grupos de segurança de destinoNetwork ACLsSub-redes compartilhadasRegistrar destinosCancelar o registro de destinos

Registrar destinos para o Network Load Balancer

Quando o destino estiver pronto para processar solicitações, registre-o em um ou mais grupos de destino. O tipo de destino do grupo de destino determina como você registra os destinos. Por exemplo, você pode registrar IDs de instância, endereços IP ou um Application Load Balancer. O Network Load Balancer inicia as solicitações de roteamento para os destinos assim que o processo de registro é concluído e o destino é aprovado nas verificações de integridade iniciais. Pode levar alguns minutos para que o processo de registro seja concluído e as verificações de integridade sejam iniciadas. Para obter mais informações, consulte Verificações de integridade para grupos de destino do Network Load Balancer.

Se a demanda em seus destinos atualmente registrados aumentar, você pode registrar destinos adicionais para lidar com a demanda. Se a demanda nos alvos registrados diminuir, será possível cancelar o registro de alvos do grupo de destino. Pode levar alguns minutos para que o processo de cancelamento do registro seja concluído e para que o load balancer interrompa as solicitações de roteamento para o destino. Se a demanda aumentar posteriormente, será possível registrar novamente os alvos que cancelaram o registro no grupo de destino. Se você precisar atender um destino, poderá cancelar o registro e registrá-lo novamente quando a manutenção estiver concluída.

Quando você cancelar o registro de um destino, o Elastic Load Balancing esperará até que as solicitações em andamento sejam concluídas. Isso é conhecido como drenagem de conexão. O status de um destino é draining enquanto a drenagem de conexão estiver em andamento. Depois que o cancelamento do registro for concluído, o status do destino será alterado para unused. Para obter mais informações, consulte Atraso do cancelamento do registro.

Se você estiver registrando destinos por ID de instância, poderá usar o balanceador de carga com um grupo do Auto Scaling. Depois de anexar um grupo de destino a um grupo do Auto Scaling e o grupo aumentar a escala horizontalmente, as instâncias iniciadas pelo grupo do Auto Scaling serão automaticamente registradas no grupo de destino. Se você desvincular o balanceador de carga do grupo do Auto Scaling, as instâncias terão o registro automaticamente cancelado do grupo de destino. Para obter mais informações, consulte Anexar um balanceador de carga ao seu grupo do Auto Scaling no Guia do usuário do Amazon EC2 Auto Scaling.

Grupos de segurança de destino

Antes de adicionar destinos ao seu grupo de destino, configure os grupos de segurança associados aos destinos para aceitar o tráfego do Network Load Balancer.

Recomendações para grupos de segurança de destino se o balanceador de carga tiver um grupo de segurança associado

  • Para permitir tráfego do cliente: adicione uma regra que faça referência ao grupo de segurança associado ao balanceador de carga.

  • Para permitir tráfego do PrivateLink: se você configurou o balanceador de carga para avaliar as regras de entrada para o tráfego enviado, por meio do AWS PrivateLink, adicione uma regra que aceite tráfego do grupo de segurança do balanceador de carga na porta de tráfego. Caso contrário, adicione uma regra que aceite tráfego dos endereços IP privados do balanceador de carga na porta de tráfego.

  • Para aceitar verificações de integridade do balanceador de carga: adicione uma regra que aceite tráfego de verificação de integridade dos grupos de segurança do balanceador de carga na porta de verificação de integridade.

Recomendações para grupos de segurança de destino se o balanceador de carga não estiver associado a um grupo de segurança

  • Para permitir tráfego do cliente: se o balanceador de carga preservar os endereços IP do cliente, adicione uma regra que aceite o tráfego dos endereços IP dos clientes aprovados na porta de tráfego. Caso contrário, adicione uma regra que aceite tráfego dos endereços IP privados do balanceador de carga na porta de tráfego.

  • Para permitir tráfego do PrivateLink: adicione uma regra que aceite tráfego dos endereços IP privados do balanceador de carga na porta de tráfego.

  • Para aceitar verificações de integridade do balanceador de carga: adicione uma regra que aceite tráfego de verificação de integridade dos endereços IP privados do balanceador de carga na porta de verificação de integridade.

Como a preservação do IP do cliente funciona

Os Network Load Balancers não preservam os endereços IP do cliente, a menos que você defina o atributo preserve_client_ip.enabled como true. Além disso, com Network Load Balancers de pilha dupla, a preservação do endereço IP do cliente não funciona quando convertemos endereços IPv4 em IPv6 ou endereços IPv6 em IPv4. A preservação do endereço IP do cliente só funciona quando os endereços IP do cliente e do destino são IPv4 ou IPv6.

Para encontrar os endereços IP privados do balanceador de carga usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Network Interfaces.

  3. No campo de pesquisa, insira o nome do Network Load Balancer. Há uma interface de rede por sub-rede do load balancer.

  4. Na guia Detalhes de cada interface de rede, copie o endereço de Endereço IPv4 privado).

Para obter mais informações, consulte Atualizar os grupos de segurança para o Network Load Balancer.

Network ACLs

Quando você registra instâncias do EC2 como destinos, precisa garantir que as ACLs de rede das sub-redes para suas instâncias permitam o tráfego tanto na porta do listener quanto na porta de verificação de integridade. A lista de controle de acesso (ACL) à rede padrão para uma VPC permite todo o tráfego de entrada e saída. Se você criar ACLs de rede personalizadas, verifique se elas permitem o tráfego apropriado.

As ACLs da rede associadas às sub-redes das instâncias devem permitir o tráfego a seguir para um balanceador de carga voltado para a Internet.

Regras recomendadas para sub-redes de instância
Inbound
Origem Protocolo Intervalo de portas Comment
Endereços IP do cliente listener porta de destino Allow client traffic (IP Preservation: ON)
CIDR da VPC listener porta de destino Allow client traffic (IP Preservation: DESL.)
CIDR da VPC verificação de integridade verificação de integridade Allow health check traffic
Outbound
Destino Protocolo Intervalo de portas Comment
Endereços IP do cliente listener 1024-65535 Allow return traffic to client (IP Preservation: ON)
CIDR da VPC listener 1024-65535 Allow return traffic to client (IP Preservation: DESL.)
CIDR da VPC verificação de integridade 1024-65535 Allow health check traffic

As ACLs da rede associadas às sub-redes do balanceador de carga devem permitir o tráfego a seguir para um balanceador de carga voltado para a Internet.

Regras recomendadas para sub-redes do load balancer
Inbound
Origem Protocolo Intervalo de portas Comment
Endereços IP do cliente listener listener Allow client traffic
CIDR da VPC listener 1024-65535 Allow response from target
CIDR da VPC verificação de integridade 1024-65535 Allow health check traffic
Outbound
Destino Protocolo Intervalo de portas Comment
Endereços IP do cliente listener 1024-65535 Allow responses to clients
CIDR da VPC listener porta de destino Allow requests to targets
CIDR da VPC verificação de integridade verificação de integridade Allow health check to targets

Para um balanceador de carga interno, as ACLs da rede das sub-redes das instâncias e os nós do balanceador de carga devem permitir tráfego de entrada e de saída de e para o CIDR da VPC, na porta do receptor e nas portas temporárias.

Sub-redes compartilhadas

Os participantes podem criar um Network Load Balancer em uma VPC compartilhada. Os participantes não podem registrar um destino executado em uma sub-rede que não seja compartilhada com eles.

As sub-redes compartilhadas para balanceadores de carga de rede são compatíveis com todas as regiões da AWS, exceto:

  • Ásia-Pacífico (Osaka) ap-northeast-3

  • Ásia-Pacífico (Hong Kong) ap-east-1

  • Oriente Médio (Bahrein) me-south-1

  • AWS China (Pequim) cn-north-1

  • AWS China (Ningxia) cn-northwest-1

Registrar destinos

Cada grupo de destino deve ter pelo menos um destino registrado em cada zona de disponibilidade que é habilitada para o load balancer.

O tipo de destino do seu grupo de destino determina quais destinos você pode registrar. Para obter mais informações, consulte Target type. Use as informações abaixo para registrar os destinos com um grupo de destino do tipo instance ou ip. Se o tipo de destino for alb, consulte Usar Application Load Balancers como destinos.

Requisitos e considerações

  • Uma instância deve estar no estado running quando você registrá-la.

  • Você não pode registrar instâncias por ID de instância se for usado um dos seguintes tipos de instância: C1, CC1, CC2, CG1, CG2, CR1, G1, G2, HI1, HS1, M1, M2, M3 ou T1.

  • Ao registrar destinos por ID da instância, as instâncias devem estar na mesma VPC que o Network Load Balancer. Não será possível registrar instâncias por ID de instância se elas estiverem em uma VPC emparelhada com a VPC do balanceador de carga (mesma região ou região diferente). Você poderá registrar essas instâncias pelo endereço IP.

  • Ao registrar destinos por ID de instância para um grupo de destino IPv6, os destinos devem ter um endereço IPv6 primário atribuído. Para saber mais, consulte Endereços IPv6 no Guia do usuário do Amazon EC2

  • Ao registrar destinos por endereço IP para um grupo de destino IPv4, os endereços IP que você registra devem ser de um dos seguintes blocos CIDR:

    • As sub-redes da VPC do grupo de destino

    • 10.0.0.0/8 (RFC 1918)

    • 100.64.0.0/10 (RFC 6598)

    • 172.16.0.0/12 (RFC 1918)

    • 192.168.0.0/16 (RFC 1918)

  • Ao registrar destinos por endereço IP para um grupo de destino IPv6, os endereços IP que você registra devem estar no bloco CIDR IPv6 da VPC ou no bloco CIDR IPv6 de uma VPC emparelhada.

  • Se você registrar um destino por endereço IP e o endereço IP estiver na mesma VPC que o load balancer, o load balancer verificará se ele é de uma sub-rede que ele possa acessar.

  • Para grupos de destino UDP e TCP_UDP, QUIC e TCP_QUIC, não registre instâncias por endereço IP se elas residirem fora da VPC do balanceador de carga ou se usarem um dos seguintes tipos de instância: C1, CC1, CC2, CG1, CG2, CR1, G1, G2, HI1, HS1, M1, M2, M3 ou T1. Destinos que residem fora da VPC do balanceador de carga ou que usam um tipo de instância incompatível podem receber tráfego do balanceador de carga, mas não conseguem responder.

Requisitos e considerações específicos do QUIC

  • Todos os destinos registrados em um grupo de destino QUIC ou TCP_QUIC precisam ter uma ID de servidor especificada.

  • As IDs de servidor precisam ser exclusivas para todos os destinos que existam em um receptor do Network Load Balancer.

  • As IDs do servidor QUIC são sempre de 8 bytes. Ao registrar o destino, a ID do servidor tem de estar no formato 0x, seguido por 16 caracteres hexadecimais.

  • Depois que um destino é registrado com uma ID de servidor, essa ID é imutável. Para alterar a ID do servidor de destino, o registro dessa ID tem de ser cancelado primeiro para depois registrar a nova ID de servidor.

  • Uma combinação de identificador de destino e porta precisa ter uma ID de servidor. Não há suporte para o uso de uma ID de servidor diferente para a mesma combinação de IP ou ID de instância e porta na mesma VPC.

  • Evite reutilizar a mesma ID de servidor para um destino diferente dentro de 6 horas.

Console
Para registrar destinos

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em Load Balancing (Balanceamento de carga), escolha Grupos de destino.

  3. Escolha o nome do grupo de destino para abrir sua página de detalhes.

  4. Escolha a guia Destinos.

  5. Escolha Register targets (Registrar destinos).

  6. Se o tipo de destino do grupo de destino for instance, selecione as instâncias disponíveis, substitua a porta padrão caso seja necessário e escolha Incluir como pendente abaixo.

  7. Se o tipo de destino do grupo de destino for ip, para cada endereço IP, selecione a rede, insira o endereço IP e as portas e escolha Incluir como pendente abaixo.

  8. Se o tipo de destino do grupo de destino for alb, substitua a porta padrão, se necessário, e selecione o Application Load Balancer. Para obter mais informações, consulte Usar Application Load Balancers como destinos.

  9. Se o protocolo do grupo de destino for QUIC ou TCP_QUIC, certifique-se de que uma ID do servidor esteja especificada.

  10. Escolha Registrar destinos pendentes.

AWS CLI
Para registrar destinos

Use o comando register-targets. O exemplo a seguir registra destinos por ID de instância. Como a porta não está especificada, o balanceador de carga usa a porta do grupo de destino.

aws elbv2 register-targets \
    --target-group-arn target-group-arn \
    --targets Id=i-1234567890abcdef0 Id=i-0abcdef1234567890

O exemplo a seguir registra destinos por endereço IP. Como a porta não está especificada, o balanceador de carga usa a porta do grupo de destino.

aws elbv2 register-targets \
    --target-group-arn target-group-arn \
    --targets Id=10.0.50.10 Id=10.0.50.20

O exemplo a seguir registra um Application Load Balancer como destino.

aws elbv2 register-targets \
    --target-group-arn target-group-arn \
    --targets Id=application-load-balancer-arn

O exemplo a seguir registra destinos em um grupo de destino QUIC ou TCP_QUIC.

aws elbv2 register-targets \
    --target-group-arn target-group-arn \
    --targets Id=10.0.50.10,QuicServerId=0xa1b2c3d4e5f65890 Id=10.0.50.20,QuicServerId=0xa1b2c3d4e5f65999
CloudFormation
Para registrar destinos

Atualize o recurso AWS::ElasticLoadBalancingV2::TargetGroup para incluir os novos destinos. O exemplo a seguir registra dois destinos por ID de instância.

Resources:
  myTargetGroup:
    Type: 'AWS::ElasticLoadBalancingV2::TargetGroup'
    Properties:
      Name: my-target-group
      Protocol: HTTP
      Port: 80
      TargetType: instance
      VpcId: !Ref myVPC
      Targets:
        - Id: !GetAtt Instance1.InstanceId
          Port: 80
        - Id: !GetAtt Instance2.InstanceId
          Port: 80

O exemplo a seguir registra dois destinos por ID de instância em um grupo de destino com protocolo QUIC ou TCP_QUIC.

Resources:
  myTargetGroup:
    Type: 'AWS::ElasticLoadBalancingV2::TargetGroup'
    Properties:
      Name: my-target-group
      Protocol: HTTP
      Port: 80
      TargetType: instance
      VpcId: !Ref myVPC
      Targets:
        - Id: !GetAtt Instance1.InstanceId
          Port: 80
          QuicServerId: 0xa1b2c3d4e5f65999
        - Id: !GetAtt Instance2.InstanceId
          Port: 80
          QuicServerId: 0xa1b2c3d4e5f65000

Cancelar o registro de destinos

Se a demanda na aplicação diminuir ou se você precisar fazer manutenção nos destinos, poderá cancelar o registro dos destinos nos grupos de destino. Cancelar o registro de um destino o remove do seu grupo de destino, mas não afeta o destino de outra forma. O load balancer interrompe o roteamento do tráfego para um destino assim que o registro dele é cancelado. O destino entra no estado draining até que as solicitações em andamento tenham sido concluídas.

Console
Para cancelar o registro de destinos

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em Load Balancing (Balanceamento de carga), escolha Grupos de destino.

  3. Escolha o nome do grupo de destino para abrir sua página de detalhes.

  4. Na guia Destinos, selecione os destinos a serem removidos.

  5. Escolha Cancelar registro.

AWS CLI
Para cancelar o registro de destinos

Use o comando deregister-targets. O exemplo mostrado a seguir cancela o registro de dois destinos que foram registrados por ID de instância.

aws elbv2 deregister-targets \
    --target-group-arn target-group-arn \
    --targets Id=i-1234567890abcdef0 Id=i-0abcdef1234567890