連接埠覆寫 - AWS Global Accelerator

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

連接埠覆寫

依預設,加速器會使用您在建立接聽程式時指定的通訊協定和連接埠範圍,將使用者流量路由到 AWS 區域中的終端節點。例如,如果您定義接聽程式接受連接埠 80 和 443 上的 TCP 流量,則加速器會將流量路由傳送至端點上的那些連接埠。

但是,當您新增或更新端點群組時,您可以覆寫用來將流量轉傳到端點的接聽程式連接埠。例如,您可以建立連接埠覆寫,接聽程式會在其中的連接埠 80 和 443 上接收使用者流量,但加速器會將該流量分別路由至端點上的連接埠 1080 和 1443。

連接埠覆寫可協助您避免接聽受限制連接埠的問題。在端點上執行不需要超級使用者 (root) 權限的應用程式會比較安全。不過,在 Linux 和其他類 Unix 系統中,您必須具有超級使用者權限,才能在受限的連接埠 (TCP 或 UDP 連接埠低於 1024) 上接聽。藉由將接聽程式上的受限連接埠對應至端點上的非受限連接埠,連接埠覆寫可讓您避免此問題。您可以在全域加速器後方的端點上執行沒有 root 存取權的應用程式時,接受受限制連接埠上的流量 例如,您可以將接聽程式連接埠 443 覆寫至端點連接埠 8443。

針對每個連接埠覆寫,您可以指定接受來自使用者流量的接聽程式連接埠,以及全域加速器將路由傳送該流量的目標端點連接埠。如需詳細資訊,請參閱 新增、編輯或移除標準端點群組

當您建立連接埠覆寫時,請謹記下列事項:

  • 端點連接埠不能重疊接聽程式連接埠範圍。 您在連接埠覆寫中指定的端點連接埠不能包含在您為加速器設定的任何接聽程式連接埠範圍中。例如,假設您有兩個加速器的接聽程式,而且您已將這些接聽程式的連接埠範圍分別定義為 100-199 和 200-299。當您建立連接埠覆寫時,您無法定義從接聽程式連接埠 100 到端點連接埠 210 的連接埠,例如,因為端點連接埠 (210) 包含在您定義 (200-299) 的接聽程式連接埠範圍中。

  • 沒有重複的端點連接埠。 如果加速器中的一個連接埠覆寫指定了端點連接埠,則您無法使用來自不同接聽程式連接埠覆寫的連接埠來指定相同的端點連接埠。例如,您無法指定從接聽程式連接埠 80 到端點連接埠 90 的連接埠覆寫,以及從接聽程式連接埠 81 到端點連接埠 90 的覆寫。

  • Health 檢查會繼續使用原始連接埠。 如果您為設定為健全狀況檢查連接埠的連接埠指定連接埠覆寫,則健全狀況檢查仍會使用原始連接埠,而不是覆寫連接埠。例如,假設您在接聽程式連接埠 80 上指定健全狀況檢查,也指定從接聽程式連接埠 80 到端點連接埠 480 的連接埠覆寫。Health 檢查會繼續使用端點連接埠 80。不過,透過連接埠 80 進入的使用者流量會移至端點上的連接埠 480。

    此行為可維持 Network Load Balancer、Application Load Balancer、EC2 執行個體和彈性 IP 位址端點之間的一致性。由於在全域加速器中指定連接埠覆寫時,網路負載平衡器和應用程式負載平衡器不會將運作狀況檢查連接埠對應至不同的端點連接埠,因此全域加速器將運作狀況檢查連接埠對應至 EC2 執行個體和彈性 IP 的不同端點連接埠位址端點。

  • 安全性群組設定必須允許連接埠存取。 確定您的安全群組允許流量到達您在連接埠覆寫中指定的端點連接埠。例如,如果您將接聽程式連接埠 443 覆寫到端點連接埠 1433,請確定在安全群組中為該 Application Load Balancer 或 Amazon EC2 端點設定的任何連接埠限制允許連接埠 1433 上的輸入流量。