Erste Schritte mit Gateway Load Balancern unter Verwendung derAWS CLI - Elastic Load Balancing

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit Gateway Load Balancern unter Verwendung derAWS CLI

Gateway Load Balancers erleichtern die Bereitstellung, Skalierung und Verwaltung virtueller Appliances von Drittanbietern, wie Sicherheitsappliances.

In diesem Tutorial implementieren wir ein Inspektionssystem mit einem Gateway Load Balancer und einem Gateway Load Balancer Balancer-Endpunkt.

Übersicht

Ein Gateway Load Balancer Balancer-Endpunkt ist ein VPC-Endpunkt, der private Konnektivität zwischen virtuellen Appliances in der Service-Provider-VPC und Anwendungsservern in der Service-Verbraucher-VPC bereitstellt. Der Gateway Load Balancer wird in derselben VPC wie die der virtuellen Appliances bereitgestellt. Diese Appliances sind als Zielgruppe des Gateway Load Balancer registriert.

Die Anwendungsserver werden in einem Subnetz (Zielsubnetz) in der Service-Consumer-VPC ausgeführt, während sich der Gateway Load Balancer Balancer-Endpunkt in einem anderen Subnetz derselben VPC befindet. Der gesamte Datenverkehr, der über das Internet-Gateway in die Service-Verbraucher-VPC gelangt, wird zunächst zur Überprüfung an den Gateway Load Balancer Balancer-Endpunkt weitergeleitet und dann an das Zielsubnetz weitergeleitet.

In ähnlicher Weise wird der gesamte Datenverkehr, der die Anwendungsserver verlässt (Zielsubnetz), zur Überprüfung an den Gateway Load Balancer Balancer-Endpunkt weitergeleitet, bevor er an das Internet zurückgeleitet wird. Das folgende Netzwerkdiagramm stellt eine visuelle Darstellung dar, wie ein Gateway Load Balancer Balancer-Endpunkt für den Zugriff auf einen Endpunktdienst verwendet wird.


    Verwenden eines Gateway Load Balancer-Endpunkts für den Zugriff auf einen Endpunktdienst

Die nummerierten Elemente, die im vorherigen Bild gezeigten Elemente hervorheben und erklären.

Datenverkehr vom Internet zur Anwendung (blaue Pfeile):

  1. Der Datenverkehr gelangt über das Internet-Gateway in die Service-Verbraucher-VPC.

  2. Der Datenverkehr wird infolge des Ingress-Routings an den Gateway Load Balancer Balancer-Endpunkt gesendet.

  3. Der Datenverkehr wird zur Überprüfung durch die Sicherheits-Appliance an den Gateway Load Balancer gesendet.

  4. Der Datenverkehr wird nach der Überprüfung an den Gateway Load Balancer Balancer-Endpunkt zurückgesendet.

  5. Der Datenverkehr wird an die Anwendungsserver (Zielsubnetz) gesendet.

Datenverkehr von der Anwendung ins Internet (orange Pfeile):

  1. Der Datenverkehr wird aufgrund der im Application Server-Subnetz konfigurierten Standardroute an den Gateway Load Balancer Balancer-Endpunkt gesendet.

  2. Der Datenverkehr wird zur Überprüfung durch die Sicherheits-Appliance an den Gateway Load Balancer gesendet.

  3. Der Datenverkehr wird nach der Überprüfung an den Gateway Load Balancer Balancer-Endpunkt zurückgesendet.

  4. Der Datenverkehr wird basierend auf der Konfiguration der Routing-Tabelle an das Internet-Gateway gesendet.

  5. Der Verkehr wird zurück ins Internet weitergeleitet.

Routing

Die Routingtabelle für das Internet-Gateway muss einen Eintrag enthalten, der den für die Anwendungsserver bestimmten Datenverkehr an den Gateway Load Balancer Balancer-Endpunkt weiterleitet. Verwenden Sie die ID des VPC-Endpunkts, um den Gateway Load Balancer Balancer-Endpunkt anzugeben.

Ziel Ziel
10.0.0.0/16 Local
10.0.1.0/24 vpc-endpoint-id

Die Routingtabelle für das Subnetz mit den Anwendungsservern muss einen Eintrag haben, der den gesamten Datenverkehr (0.0.0.0/0) von den Anwendungsservern an den Gateway Load Balancer Balancer-Endpunkt weiterleitet.

Ziel Ziel
10.0.0.0/16 Local
0.0.0.0/0 vpc-endpoint-id

Die Routingtabelle für das Subnetz mit dem Gateway Load Balancer Balancer-Endpunkt muss den Datenverkehr weiterleiten, der von der Inspektion an sein endgültiges Ziel zurückkehrt. Für Datenverkehr aus dem Internet stellt die lokale Route sicher, dass er die Anwendungsserver erreicht. Fügen Sie für Datenverkehr, der von den Anwendungsservern stammt, einen Eintrag hinzu, der den gesamten Datenverkehr (0.0.0.0/0) an das Internet-Gateway weiterleitet.

Ziel Ziel
10.0.0.0/16 Local
0.0.0.0/0 internet-gateway-id

Voraussetzungen

  • Installieren desAWS CLIoder aktualisieren Sie auf die aktuelle Version desAWS CLIwenn Sie eine Version verwenden, die Gateway Load Balancers nicht unterstützt. Weitere Informationen finden Sie unter Installieren der AWS Command Line Interface im AWS Command Line Interface-Leitfaden.

  • Stellen Sie sicher, dass die Service-Consumer-VPC mindestens zwei Subnetze für jede Availability Zone enthält, die Anwendungsserver enthält. Ein Subnetz ist für den Gateway Load Balancer Balancer-Endpunkt und das andere für die Anwendungsserver.

  • Stellen Sie sicher, dass der Dienstanbieter VPC mindestens zwei Subnetze für jede Availability Zone hat, die Sicherheitsappliance-Instanzen enthält. Ein Subnetz ist für den Gateway Load Balancer und das andere für die Instanzen.

  • Starten Sie mindestens eine Sicherheitsappliance-Instanz in jedem Subnetz der Sicherheitsappliance in der Dienstanbieter-VPC. Die Sicherheitsgruppen für diese Instances müssen UDP-Datenverkehr auf Port 6081 zulassen.

Schritt 1: Erstellen Sie einen Gateway Load Balancer und registrieren Sie Ziele

Gehen Sie wie folgt vor, um Ihren Load Balancer, Listener und Zielgruppen zu erstellen und Ihre Security Appliance-Instanzen als Ziele zu registrieren.

So erstellen Sie einen Gateway Load Balancer und registrieren Ziele

  1. Verwenden dererstellen-last-BalancerBefehl zum Erstellen eines Load Balancer des Typsgatewayaus. Sie können ein Subnetz für jede Availability Zone angeben, in der Sie Sicherheitsappliance-Instances gestartet haben.

    aws elbv2 create-load-balancer --name my-load-balancer --type gateway --subnets provider-subnet-id

    Die Ausgabe enthält den Amazon-Ressourcennamen (ARN) des Load Balancers mit dem im folgenden Beispiel dargestellten Format.

    arn:aws:elasticloadbalancing:us-east-2:123456789012:loadbalancer/gwy/my-load-balancer/1234567890123456
  2. Verwenden dererstellen-zielgruppeBefehl zum Erstellen einer Zielgruppe unter Angabe der Service-Provider-VPC, in der Sie Ihre Instances gestartet haben.

    aws elbv2 create-target-group --name my-targets --protocol GENEVE --port 6081 --vpc-id provider-vpc-id

    Die Ausgabe umfasst den ARN der Zielgruppe im folgenden Format.

    arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/0123456789012345
  3. Verwenden Sie den Befehl register-targets, um Ihre Instances bei Ihrer Zielgruppe zu registrieren.

    aws elbv2 register-targets --target-group-arn targetgroup-arn --targets Id=i-1234567890abcdef0 Id=i-0abcdef1234567890
  4. Verwenden dercreate-listenerBefehl, um einen Listener für Ihren Load Balancer mit einer Standardregel zu erstellen, die Anforderungen an Ihre Zielgruppe weiterleitet.

    aws elbv2 create-listener --load-balancer-arn loadbalancer-arn --default-actions Type=forward,TargetGroupArn=targetgroup-arn

    Die Ausgabe enthält den ARN des Listener im folgenden Format.

    arn:aws:elasticloadbalancing:us-east-2:123456789012:listener/gwy/my-load-balancer/1234567890123456/abc1234567890123
  5. (Optional) Sie können den Zustand der registrierten Ziele für Ihre Zielgruppe unter Verwendung der folgenden Schritte überprüfendescribe-target-healthbefehl.

    aws elbv2 describe-target-health --target-group-arn targetgroup-arn

Schritt 2: Erstellen eines Gateway-Load-Balancer-Endpunkts

Verwenden Sie das folgende Verfahren, um einen Gateway Load Balancer Balancer-Endpunkt zu erstellen. Gateway Load Balancer Balancer-Endpunkte sind zonal. Wir empfehlen Ihnen, einen Gateway Load Balancer Balancer-Endpunkt pro Zone zu erstellen. Weitere Informationen finden Sie unterZugriff auf virtuelle Appliances überAWS PrivateLinkaus.

So erstellen Sie einen Gateway-Load-Balancer-Endpunkt

  1. Verwenden dercreate-vpc-endpoint-service-configurationBefehl zum Erstellen einer Endpunktservicekonfiguration mit Ihrem Gateway Load Balancer.

    aws ec2 create-vpc-endpoint-service-configuration --gateway-load-balancer-arns loadbalancer-arn --no-acceptance-required

    Die Ausgabe enthält die Service-ID (z. B. vpce-svc-12345678901234567) und den Servicenamen (beispielsweise com.amazonaws.vpce.us-east-2.vpce-svc-12345678901234567).

  2. Verwenden dermodify-vpc-endpoint-service-berechtigungenBefehl, damit Service-Verbrauchern einen Endpunkt zu Ihrem Service erstellen können. Ein Dienstverbraucher kann ein IAM-Benutzer, eine IAM-Rolle sein oderAWSKonto. Im folgenden Beispiel wird die Berechtigung für das angegebeneAWSKonto.

    aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-12345678901234567 --add-allowed-principals arn:aws:iam::123456789012:root
  3. Verwenden dererstellen-vpc-EndpunktBefehl, um den Gateway Load Balancer Balancer-Endpunkt für Ihren Service zu erstellen.

    aws ec2 create-vpc-endpoint --vpc-endpoint-type GatewayLoadBalancer --service-name com.amazonaws.vpce.us-east-2.vpce-svc-12345678901234567 --vpc-id consumer-vpc-id --subnet-ids consumer-subnet-id

    Die Ausgabe enthält die ID des Gateway Load Balancer Balancer-Endpunkts (z. B. vpce-01234567890abcdef).

Schritt 3: Routing konfigurieren

Konfigurieren Sie die Routingtabellen für die Service-Verbraucher-VPC wie folgt. Dies ermöglicht es den Sicherheitsappliances, eine Sicherheitsprüfung des eingehenden Datenverkehrs durchzuführen, der für die Anwendungsserver bestimmt ist.

So konfigurieren Sie das Routing

  1. Verwenden dercreate-routeBefehl zum Hinzufügen eines Eintrags zur Routing-Tabelle für das Internet-Gateway, der Datenverkehr, der für die Anwendungsserver bestimmt ist, an den Gateway Load Balancer Balancer-Endpunkt weiterleitet.

    aws ec2 create-route --route-table-id gateway-rtb --destination-cidr-block 10.0.1.0/24 --vpc-endpoint-id vpce-01234567890abcdef
  2. Verwenden dercreate-routezum Hinzufügen eines Eintrags zur Routing-Tabelle für das Subnetz mit den Anwendungsservern, die den gesamten Datenverkehr von den Anwendungsservern an den Gateway Load Balancer Balancer-Endpunkt weiterleiten.

    aws ec2 create-route --route-table-id application-rtb --destination-cidr-block 0.0.0.0/0 --vpc-endpoint-id vpce-01234567890abcdef
  3. Verwenden dercreate-routezum Hinzufügen eines Eintrags zur Routing-Tabelle für das Subnetz mit dem Gateway Load Balancer Balancer-Endpunkt, der den gesamten Datenverkehr, der von den Anwendungsservern stammt, an das Internet-Gateway weiterleitet.

    aws ec2 create-route --route-table-id endpoint-rtb --destination-cidr-block 0.0.0.0/0 --gateway-id igw-01234567890abcdef
  4. Wiederholen Sie dies für jede Anwendungssubnetz-Routentabelle in jeder Zone.