Блог

У меня есть публичная и частная подсети. Общедоступная подсеть subnet-public содержит ALB и некоторые экземпляры (в качестве целевой группы). Частная подсеть subnet-private содержит базу данных.

Группы безопасности настроены следующим образом. NACL не определены.

 1) sg-lb (SG associated to the ALB):
   ----------------------------------
   Inbound:
      HTTP with source 0.0.0.0/0
      HTTPS with source 0.0.0.0/0

   Outbound: 
      HTTP with destination `sg-web`

2) sg-web (SG associated to the EC2 instances and should only receive traffic from the ALB):
   -----------------------------------------------------------------------------------------
   Inbound:
      HTTP with source `sg-lb`
      HTTPS with source `sg-lb`

   Outbound: 
      All traffic with destination 0.0.0.0/0 

3) sg-private (SG associated to the db):
   ------------------------------------
   Inbound:
      Port 5432 with source `sg-web`

   Outbound: 
      All traffic with destination 0.0.0.0/0 
 

Проверки работоспособности (порт 80) работают нормально.

Однако в тот момент, когда я создаю NACL для subnet-private экземпляров в целевой группе, они становятся нездоровыми. Что NACL выглядит следующим образом:

 Inbound:
    Port 5432 from `subnet-public`

Outbound
    Port 0-65535 to `subnet-public`

This NACL is associated to `subnet-private`.
 

Проверки работоспособности проводятся между ALB и экземплярами, все в subnet-public . Насколько я знаю, они не имеют никакого отношения к subnet-private и, следовательно, также NACL не должен влиять на проверки здоровья. И все же они становятся нездоровыми.

В тот момент, когда я переопределяю NACL, чтобы разрешить весь входящий трафик (источник 0.0.0.0/0) и исходящий (пункт назначения 0.0.0.0/0), целевые объекты снова становятся работоспособными.

Есть идеи?