Как получить доступ к API в частной подсети из React приложения через балансировщик нагрузки приложений в AWS VPC?

Пожалуйста, обратитесь к изображению дизайна VPC ниже.
[1]: https://i.sstatic.net/JpZCLQO2.png

Я работаю над веб-приложением на React, размещенным на AWS, с следующей архитектурой:

Веб-приложение на React: Размещено на экземпляре EC2 в частной подсети, доступно через балансировщик нагрузки приложений (ALB) и через Bastion 1 с использованием SSH.
Сервер API на Flask: Размещен на другом экземпляре EC2 в другой частной подсети, доступен только через Bastion 2 с использованием SSH.
Цель: Веб-приложение на React должно отправлять HTTP-запросы к экземпляру Flask API.

В данный момент я сталкиваюсь с несколькими проблемами:

1. Настройка сети: Когда я пытаюсь запросить API из приложения на React с использованием http://$api-private-ip/api/, запрос не проходит, так как частный IP доступен только внутри VPC.

2. Проверка: Когда я использую SSH для доступа к веб-экземпляру и запускаю curl $api-private-ip/api/, я получаю действительный ответ от сервера API. Однако запрос зависает, когда я пытаюсь его выполнить через браузер.

Вопросы:

1. Какой URL мне следует использовать для выполнения запросов к API из приложения на React, учитывая, что оба экземпляра находятся в частных подсетях?

2. Существует ли способ направить запрос через ALB или другой механизм?

3. Соответствует ли моя текущая архитектура лучшим практикам, или мне следует рассмотреть альтернативный подход для обеспечения безопасной связи между клиентом и API?

1. Настройка инфраструктуры на AWS
   a. Конфигурация VPC
   Создайте VPC с публичными и частными подсетями.
   Настройте таблицы маршрутов: Публичные подсети должны иметь маршрут к интернет-шлюзу, в то время как частные подсети должны маршрутизироваться через NAT-шлюз.
   b. Настройка вашего API
   Разверните ваш API на экземплярах EC2 или на сервисе вроде AWS Lambda в пределах частной подсети.
   Убедитесь, что группа безопасности, связанная с вашим API, позволяет входящий трафик от ALB.
   c. Создание балансировщика нагрузки для приложений
   Создайте ALB в публичной подсети вашего VPC.
   Настройте ALB для маршрутизации трафика к целям (экземплярам EC2 или функциям Lambda), размещающим ваш API, расположенным в частной подсети.
   Убедитесь, что группа безопасности ALB позволяет входящий трафик на порту слушателя.
   d. Настройка целевых групп
   Создайте целевые группы, которые включают ваши экземпляры API.
   Укажите параметры проверки работоспособности для вашего API, чтобы балансировщик нагрузки направлял трафик только к здоровым экземплярам.
2. Соображения безопасности
   Группы безопасности: Убедитесь, что группа безопасности ALB позволяет входящий трафик на необходимые порты (HTTP/HTTPS), а группа безопасности API позволяет входящий трафик от группы безопасности ALB.
   Сетевые ACL: Убедитесь, что сетевые ACL, связанные с вашими подсетями, разрешают необходимый трафик.
3. Настройка вашего приложения на React
   a. Конфигурация окружения
   Сохраняйте URL ALB в конфигурации окружения вашего приложения на React. Это обычно делается в файле .env или файле конфигурации.
   b. Выполнение вызовов API
   В вашем приложении на React используйте сохраненную переменную окружения для выполнения вызовов API. Вы можете использовать библиотеки, такие как axios, или метод fetch.
4. Тестирование и мониторинг
   Тестирование: Убедитесь, что вы протестировали ваше приложение на React, чтобы проверить, может ли оно успешно взаимодействовать с API через ALB.
   Мониторинг: Используйте AWS CloudWatch для мониторинга балансировщика нагрузки приложений и состояния ваших целевых групп, чтобы обеспечить правильное маршрутизирование трафика.
5. Дополнительные соображения
   CORS: Если ваше приложение на React размещено на другом домене, чем ваш API, вам может потребоваться настроить CORS (Общий доступ к ресурсам из разных источников) на вашем API, чтобы разрешить трафик с домена вашего приложения на React.
   SSL/TLS: Для производственных сред рекомендуется настроить HTTPS для вашего API через ALB для шифрования данных в процессе передачи. AWS предоставляет варианты SSL-сертификатов через AWS Certificate Manager (ACM).
   Масштабирование и нагрузочное тестирование: Учитывайте емкость ваших экземпляров за ALB и проводите нагрузочные испытания, чтобы убедиться, что они справляются с ожидаемым трафиком.
   Структурируя вашу настройку AWS, как описано, ваше приложение на React должно иметь возможность безопасно и эффективно получать доступ к API через балансировщик нагрузки приложений.