В первой VPC создан балансировщик нагрузки c приватным IP-адресом, на серверах целевой группы запущено приложение. При попытке доступа из других VPC, платформ или on-premises, связанных с первой VPC с помощью Magic Router, соединение не устанавливается. Приложение недоступно.
Признаки:
Приложения доступны ресурсам из той же VPC, в которой размещен балансировщик, но недоступны из внешних сетей.
В метриках мониторинга есть входящий трафик от попыток подключения к балансировщику нагрузки, но сами соединения не работают.
Проблема вызвана архитектурным ограничением сервиса Load Balancer:
Запрос от клиента из внешней сети, например VPC-2, попадает в VPC-1 через Magic Router и достигает приватного IP-адреса балансировщика. Этот трафик учитывается и тарифицируется.
Приложение обрабатывает запрос.
Ответ от приложения направляется на адрес балансировщика, а не к исходному IP-адресу клиента из VPC-2.
Балансировщик пытается отправить пакет обратно клиенту. Однако архитектура Load Balancer не поддерживает маршрутизацию ответного трафика в такой конфигурации. Поэтому обратный трафик не доходит до адресата.
Чтобы обеспечить доступ к приложению из внешних сетей:
Настройте для этих сетей доступ к приложению по публичному IP-адресу балансировщика.
Исключите приватный IP-адрес балансировщика из маршрутизации в сервисе Magic Router.
Если действия не помогли, обратитесь в техническую поддержку.