本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 做好准备将 VPC Lattice 目标组附加到您的自动扩缩组
<a name="getting-started-vpc-lattice"></a>

将 VPC Lattice 目标组附加到您的自动扩缩组之前，您必须满足以下先决条件：
+ 您必须已经创建了VPC Lattice服务网络、服务、侦听器和目标组。有关更多信息，请参阅 *VPC Lattice 用户指南*中的以下主题：
  + [服务网络](https://docs.amazonaws.cn/vpc-lattice/latest/ug/service-networks.html)
  + [服务](https://docs.amazonaws.cn/vpc-lattice/latest/ug/services.html)
  + [侦听器](https://docs.amazonaws.cn/vpc-lattice/latest/ug/listeners.html)
  + [目标组](https://docs.amazonaws.cn/vpc-lattice/latest/ug/target-groups.html)
+ 目标组必须与您的 Auto Scaling 组位于相同 Amazon Web Services 账户的 VPC 和区域。
+ 目标组必须指定的 `instance` 目标类型。使用 Auto Scaling 组时，无法指定 `ip` 的目标类型。
+ 您必须拥有足够的 IAM 权限才能将目标组附加到自动扩缩组。以下示例策略显示了附加和分离目标组所需的最低权限。

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "autoscaling:AttachTrafficSources",
                  "autoscaling:DetachTrafficSources",
                  "autoscaling:DescribeTrafficSources",
                  "vpc-lattice:RegisterTargets",
                  "vpc-lattice:DeregisterTargets"
              ],
              "Resource": "*"
          }
      ]
  }
  ```

------
+ 如果您的自动扩缩组的启动模板不包含 VPC Lattice 的正确设置，例如兼容的安全组，则必须更新启动模板。修改启动模板时，现有实例不会使用新设置进行更新。要更新现有实例，您可以启动实例刷新以替换实例。有关更多信息，请参阅 [使用实例刷新更新自动扩缩组中的实例](asg-instance-refresh.md)。
+ 在您的自动扩缩组上启用 VPC Lattice 运行状况检查之前，您可以配置基于应用程序的运行状况检查，以验证您的应用程序是否按预期响应。有关更多信息，请参阅 *VPC Lattice 用户指南*中的[目标群体的运行状况检查](https://docs.amazonaws.cn/vpc-lattice/latest/ug/target-group-health-checks.html)。

## 安全组：入站和出站规则
<a name="vpc-lattice-security-groups"></a>

安全组用作相关 EC2 实例的防火墙，可在实例级别控制入站和出站的流量。

**注意**  
网络配置非常复杂，我们强烈建议您创建一个新的安全组以便与 VPC Lattice 结合使用。如果您需要与他们联系 Amazon Web Services 支持 ，它还可以更轻松地为您提供帮助。以下各节基于您遵循此建议的假设。  
要详细了解如何为 VPC Lattice 创建可与自动扩缩组一起使用的安全组，请参阅 *VPC Lattice 用户指南*中的[使用安全组控制流量](https://docs.amazonaws.cn/vpc-lattice/latest/ug/security-groups.html)。要解决流量问题，请查阅 *VPC Lattice用户指南*以获取更多信息。

有关如何创建安全组的信息，请参阅《Amazon EC2 用户指南》中的[创建安全组](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/creating-security-group.html)**并使用下表确定要选择的选项。


| Option | 值 | 
| --- | --- | 
| Name | 一个很容易记住的名字。 | 
| 说明 | 有关描述可帮助您识别安全组。 | 
| VPC | 与自动扩缩组相同的 VPC。 | 

### 入站规则
<a name="vpc-lattice-inbound-rules"></a>

当您创建一个安全组时，它没有入站规则。在您向安全组添加入站规则之前，不允许来自 VPC Lattice 服务网络内客户端的入站流量传输到您的实例。

要允许 VPC Lattice 服务网络中的客户端连接到您的自动扩缩组中的实例，必须正确设置您的自动扩缩组的安全组。在这种情况下，为其提供入站规则，允许来自 VPC Lattice Amazon 托管前缀列表名称的流量，而不是特定 IP 地址的流量。VPC Lattice 前缀列表是 VPC Lattice 以 CIDR 表示法使用的一系列 IP 地址。有关更多信息，请参阅 *Amazon VPC 用户指南*中的使用[Amazon托管前缀列表](https://docs.amazonaws.cn/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)。

有关如何向安全组中添加规则的信息，请参阅《Amazon VPC 用户指南》**中的[配置安全组规则](https://docs.amazonaws.cn/vpc/latest/userguide/working-with-security-group-rules.html)并使用下表确定要选择的选项。


| Option | 值 | 
| --- | --- | 
| HTTP 规则 | 类型：HTTP<br />来源：com.amazonaws。 {{region}}.vpc-lattice | 
| HTTPS 规则 | 类型：HTTPS<br />来源：com.amazonaws。 {{region}}.vpc-lattice | 

安全组是有状态的：它允许来自VPC Lattice服务网络中客户端的流量传输到您的自动扩缩组中的实例，然后将响应发回给之前离开的客户端。

### 出站规则
<a name="vpc-lattice-outbound-rules"></a>

默认情况下，安全组包含允许所有出站流量的出站规则。您可以选择删除此默认规则并添加出站规则以满足特定的安全需求。

## 限制
<a name="vpc-lattice-target-group-limitations"></a>
+ 支持[混合实例组](ec2-auto-scaling-mixed-instances-groups.md)。如果将 VPC Lattice 目标组附加到采用混合实例策略的自动扩缩组，则负载均衡算法会将负载均匀地分配到所有可用资源上，并假设这些实例足够相似，可以处理等同的负载。