Erste Schritte mit Gateway Load Balancer - Elastic Load Balancing
ÜbersichtVoraussetzungenSchritt 1: Erstellen eines Gateway Load BalancerSchritt 2: Erstellen eines Gateway Load Balancer-EndpunktdienstesSchritt 3: Erstellen eines Gateway Load Balancer-EndpunktsSchritt 4: Routing konfigurieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit Gateway Load Balancer

Gateway Load Balancers erleichtern die Bereitstellung, Skalierung und Verwaltung virtueller Appliances von Drittanbietern, wie z. B. Sicherheits-Appliances.

In diesem Tutorial werden wir ein Inspektionssystem mit einem Gateway Load Balancer und einem Gateway Load Balancer-Endpunkt implementieren.

Übersicht

Ein Gateway Load Balancer-Endpunkt ist ein VPC Endpunkt, der private Konnektivität zwischen virtuellen Appliances im Service Provider VPC und Anwendungsservern im Service Consumer VPC bereitstellt. Der Gateway Load Balancer wird genauso eingesetzt VPC wie der der virtuellen Appliances. Diese Appliances werden als Zielgruppe des Gateway Load Balancers registriert.

Die Anwendungsserver werden in einem Subnetz (Zielsubnetz) im Service Consumer ausgeführtVPC, während sich der Gateway Load Balancer-Endpunkt in einem anderen Subnetz desselben Subnetzes befindet. VPC Der gesamte Datenverkehr, der VPC über das Internet-Gateway in den Service Consumer eingeht, wird zuerst an den Gateway Load Balancer-Endpunkt und dann an das Zielsubnetz weitergeleitet.

Ebenso wird der gesamte Datenverkehr, der die Anwendungsserver (Ziel-Subnetz) verlässt, an den Gateway Load Balancer-Endpunkt weitergeleitet, bevor er zurück ins Internet geleitet wird. Das folgende Netzwerkdiagramm veranschaulicht, wie ein Gateway Load Balancer-Endpunkt für den Zugriff auf einen Endpunktdienst verwendet wird.

Verwenden eines Gateway Load Balancer-Endpunkts für den Zugriff auf einen Endpunktdienst

Die folgenden nummerierten Punkte heben die in der vorangehenden Abbildung gezeigten Elemente hervor und erläutern sie.

Verkehr vom Internet zur Anwendung (blaue Pfeile):

  1. Der Datenverkehr gelangt VPC über das Internet-Gateway zum Servicenutzer.

  2. Der Verkehr wird als Ergebnis des Ingress-Routings an den Gateway Load Balancer-Endpunkt gesendet.

  3. Der Datenverkehr wird an den Gateway Load Balancer gesendet, der den Datenverkehr an eine der Security Appliances weiterleitet.

  4. Der Datenverkehr wird an den Gateway Load Balancer-Endpunkt zurückgesendet, nachdem er von der Security Appliance geprüft wurde.

  5. Der Verkehr wird an die Anwendungsserver (Ziel-Subnetz) gesendet.

Verkehr von der Anwendung zum Internet (orangefarbene Pfeile):

  1. Der Datenverkehr wird aufgrund der im Subnetz des Anwendungsservers konfigurierten Standardroute an den Gateway Load Balancer-Endpunkt gesendet.

  2. Der Datenverkehr wird an den Gateway Load Balancer gesendet, der den Datenverkehr an eine der Security Appliances weiterleitet.

  3. Der Datenverkehr wird an den Gateway Load Balancer-Endpunkt zurückgesendet, nachdem er von der Security Appliance geprüft wurde.

  4. Der Datenverkehr wird basierend auf der Routing-Tabellenkonfiguration an das Internet-Gateway gesendet.

  5. Der Datenverkehr wird zurück ins Internet geleitet.

Routing

Die Routing-Tabelle des Internet-Gateways muss einen Eintrag enthalten, der den für die Anwendungsserver bestimmten Datenverkehr an den Gateway Load Balancer-Endpunkt weiterleitet. Um den Gateway Load Balancer-Endpunkt anzugeben, verwenden Sie die ID des VPC Endpunkts. Das folgende Beispiel zeigt die Routen für eine Dualstack-Konfiguration.

Bestimmungsort Ziel
VPC IPv4 CIDR Local
VPC IPv6 CIDR Local
Subnet 1 IPv4 CIDR vpc-endpoint-id
Subnet 1 IPv6 CIDR vpc-endpoint-id

Die Routing-Tabelle für das Subnetz mit den Anwendungsservern muss Einträge enthalten, die den gesamten Verkehr von den Anwendungsservern zum Gateway Load Balancer-Endpunkt leiten.

Bestimmungsort Ziel
VPC IPv4 CIDR Local
VPC IPv6 CIDR Local
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id

Die Routing-Tabelle für das Subnetz mit dem Gateway Load Balancer-Endpunkt muss den Verkehr, der von der Prüfung zurückkommt, an sein endgültiges Ziel leiten. Bei Datenverkehr, der aus dem Internet stammt, sorgt die lokale Route dafür, dass er die Anwendungsserver erreicht. Fügen Sie für den Datenverkehr, der von den Anwendungsservern stammt, Einträge hinzu, die den gesamten Datenverkehr an das Internet-Gateway weiterleiten.

Bestimmungsort Ziel
VPC IPv4 CIDR Local
VPC IPv6 CIDR Local
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id

Voraussetzungen

  • Stellen Sie sicher, dass der Service Consumer VPC über mindestens zwei Subnetze für jede Availability Zone verfügt, die Anwendungsserver enthält. Ein Subnetz ist für den Gateway Load Balancer-Endpunkt, das andere für die Anwendungsserver.

  • Der Gateway Load Balancer und die Ziele können sich im selben Subnetz befinden.

  • Sie können kein Subnetz verwenden, das von einem anderen Konto gemeinsam genutzt wird, um den Gateway Load Balancer bereitzustellen.

  • Starten Sie mindestens eine Sicherheits-Appliance-Instanz in jedem Sicherheits-Appliance-Subnetz des Service Providers. VPC Die Sicherheitsgruppen für diese Instanzen müssen den UDP Verkehr auf Port 6081 zulassen.

Schritt 1: Erstellen eines Gateway Load Balancer

Gehen Sie wie folgt vor, um Ihren Load Balancer, Listener und Ihre Zielgruppe zu erstellen.

Um den Load Balancer, den Listener und die Zielgruppe mithilfe der Konsole zu erstellen

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich unter Load Balancing die Option Load Balancers aus.

  3. Wählen Sie Load Balancer erstellen aus.

  4. Wählen Sie unter Gateway Load Balancer die Option Erstellen aus.

  5. Basiskonfiguration

    1. Geben Sie im Feld Name des Load Balancers einen Namen für Ihren Load Balancer ein.

    2. Wählen Sie für den IP-Adresstyp, ob IPv4nur IPv4 Adressen unterstützt werden sollen oder Dualstack, um beide IPv4 Adressen zu unterstützen. IPv6

  6. Netzwerkzuordnung

    1. Wählen Sie für VPCden Dienstanbieter aus. VPC

    2. Wählen Sie unter Zuordnungen alle Verfügbarkeitszonen aus, in denen Sie Security Appliance Instances gestartet haben, und ein Subnetz pro Verfügbarkeitszone.

  7. IP-Listener-Routing

    1. Wählen Sie unter Standardaktion eine bestehende Zielgruppe aus, die den Datenverkehr erhalten soll. Diese Zielgruppe muss das GENEVE Protokoll verwenden.

      Wenn Sie keine Zielgruppe haben, wählen Sie Zielgruppe erstellen. Dadurch wird ein neuer Tab in Ihrem Browser geöffnet. Wählen Sie einen Zieltyp, geben Sie einen Namen für die Zielgruppe ein und behalten Sie das GENEVE Protokoll bei. Wählen Sie die Instanzen VPC mit Ihrer Sicherheits-Appliance aus. Ändern Sie die Einstellungen für die Zustandsprüfung nach Bedarf und fügen Sie alle benötigten Tags hinzu. Wählen Sie Weiter. Sie können Ihre Security Appliance Instances jetzt oder nach Abschluss dieses Verfahrens bei der Zielgruppe registrieren. Wählen Sie Zielgruppe erstellen und kehren Sie dann zur vorherigen Browser-Registerkarte zurück.

    2. (Optional) Erweitern Sie die Listener-Tags und fügen Sie die benötigten Tags hinzu.

  8. (Optional) Erweitern Sie die Load Balancer-Tags und fügen Sie die benötigten Tags hinzu.

  9. Wählen Sie Load Balancer erstellen aus.

Schritt 2: Erstellen eines Gateway Load Balancer-Endpunktdienstes

Gehen Sie wie folgt vor, um einen Endpunktdienst mit Ihrem Gateway Load Balancer zu erstellen.

So erstellen Sie einen Gateway Load Balancer-Endpunktdienst

  1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunktservices aus.

  3. Wählen Sie das folgende Verfahren aus, um das folgende Verfahren zu erstellen:

    1. Wählen Sie für Load-Balancer-Typ Gateway aus.

    2. Wählen Sie für Verfügbare Load Balancer Ihren Gateway-Load-Balancer aus.

    3. Wählen Sie unter Akzeptanz für Endpunkt erforderlich die Option Akzeptanz erforderlich, um Verbindungsanfragen zu Ihrem Dienst manuell zu akzeptieren. Andernfalls werden sie automatisch akzeptiert.

    4. Führen Sie für Unterstützte IP-Adresstyp einen der folgenden Schritte aus:

      • Wählen Sie IPv4— Aktivieren Sie den Endpunktservice für die Annahme von IPv4 Anfragen.

      • Wählen IPv6— Ermöglichen Sie dem Endpunktdienst die Annahme von IPv6 Anfragen.

      • Wählen Sie IPv4und IPv6— Aktivieren Sie den Endpunktdienst so, dass er IPv4 sowohl als auch IPv6 Anfragen akzeptiert.

    5. (Optional) Sie fügen ein Tag hinzu, indem Sie Add new tag (Neuen Tag hinzufügen) auswählen und den Tag-Schlüssel und -Wert eingeben.

    6. Wählen Sie Create (Erstellen) aus. Notieren Sie sich den Namen des Dienstes; Sie benötigen ihn, wenn Sie den Endpunkt erstellen.

  4. Wählen Sie den neuen Endpunktdienst aus und wählen Sie Aktionen, Prinzipale zulassen. Geben Sie ARNs die Servicekonsumenten ein, die einen Endpunkt für Ihren Service erstellen dürfen. Ein Servicekonsument kann ein Benutzer, eine IAM Rolle oder sein AWS-Konto. Wählen Sie auf Allow principals (Prinzipale erlauben) aus.

Schritt 3: Erstellen eines Gateway Load Balancer-Endpunkts

Gehen Sie wie folgt vor, um einen Gateway Load Balancer-Endpunkt zu erstellen, der eine Verbindung zu Ihrem Gateway Load Balancer-Endpunktdienst herstellt. Gateway Load Balancer Endpunkte sind zonal. Es wird empfohlen, einen Gateway Load Balancer-Endpunkt pro Zone zu erstellen. Weitere Informationen finden Sie unter Zugriff auf virtuelle Appliances über AWS PrivateLink im AWS PrivateLink Handbuch.

So erstellen Sie einen Gateway Load Balancer-Endpunkt

  1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Wählen Sie Endpunkt erstellen und gehen Sie wie folgt vor:

    1. Wählen Sie für Servicekategorie Andere Endpunkt-Services.

    2. Geben Sie bei Dienstname den Namen des Dienstes ein, den Sie zuvor notiert haben, und wählen Sie dann Dienst überprüfen.

    3. Wählen Sie für VPCden Servicenutzer ausVPC.

    4. Wählen Sie unter Subnets ein Subnetz für den Gateway Load Balancer-Endpunkt aus.

    5. Wählen Sie für IP address type (IP-Adressentyp) eine der folgenden Optionen aus:

      • IPv4— Weisen Sie Ihren Endpunkt-Netzwerkschnittstellen IPv4 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv4 Adressbereiche haben.

      • IPv6— Weisen Sie Ihren Endpunkt-Netzwerkschnittstellen IPv6 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv6 nur Subnetze sind.

      • Dualstack — Weisen Sie Ihren IPv4 Endpunkt-Netzwerkschnittstellen sowohl IPv6 Adressen als auch Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv4 sowohl IPv6 als auch Adressbereiche haben.

    6. (Optional) Sie fügen ein Tag hinzu, indem Sie Add new tag (Neuen Tag hinzufügen) auswählen und den Tag-Schlüssel und -Wert eingeben.

    7. Wählen Sie Endpunkt erstellen aus. Der ursprüngliche Status ist pending acceptance.

Um die Endpunkt-Verbindungsanfrage zu akzeptieren, gehen Sie wie folgt vor.

  1. Wählen Sie im Navigationsbereich Endpoint Services (Endpunktservices) aus.

  2. Wählen Sie den Endpunktservice aus.

  3. Wählen Sie die Endpunktverbindung auf der Registerkarte Endpoint connections (Endpunktverbindungen) aus.

  4. Um die Verbindungsanforderung zu akzeptieren, wählen Sie Actions (Aktionen), Accept endpoint connection request (Endpunkt-Verbindungsanforderung akzeptieren). Wenn Sie zur Bestätigung aufgefordert werden, geben Sie accept ein und wählen Sie dann Accept (Akzeptieren).

Schritt 4: Routing konfigurieren

Konfigurieren Sie die Routing-Tabellen für den Service Consumer VPC wie folgt. Dadurch können die Security Appliances eine Sicherheitsüberprüfung des eingehenden Datenverkehrs durchführen, der für die Anwendungsserver bestimmt ist.

So konfigurieren Sie das Routing

  1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Route Tables (Routing-Tabellen) aus.

  3. Wählen Sie die Routing-Tabelle für den Internet-Gateway aus, und führen Sie die folgenden Schritte aus:

    1. Wählen Sie Aktionen und dann Routen bearbeiten.

    2. Wählen Sie Route hinzufügen aus. Geben Sie als Ziel den IPv4 CIDR Block des Subnetzes für die Anwendungsserver ein. Wählen Sie für Target den VPC Endpunkt aus.

    3. Wenn Sie dies unterstützenIPv6, wählen Sie Route hinzufügen. Geben Sie als Ziel den IPv6 CIDR Block des Subnetzes für die Anwendungsserver ein. Wählen Sie für Target den VPC Endpunkt aus.

    4. Wählen Sie Änderungen speichern.

  4. Wählen Sie die Routing-Tabelle für das Subnetz mit den Anwendungsservern aus, und führen Sie folgende Schritte aus:

    1. Wählen Sie Aktionen und dann Routen bearbeiten.

    2. Wählen Sie Route hinzufügen aus. Geben Sie für Destination 0.0.0.0/0 ein. Wählen Sie für Target den VPC Endpunkt aus.

    3. Wenn Sie dies unterstützenIPv6, wählen Sie Route hinzufügen. Geben Sie für Destination ::/0 ein. Wählen Sie für Target den VPC Endpunkt aus.

    4. Wählen Sie Änderungen speichern.

  5. Wählen Sie die Routing-Tabelle für das Subnetz mit dem Gateway-Load-Balancer-Endpunkt aus und tun Sie Folgendes:

    1. Wählen Sie Aktionen und dann Routen bearbeiten.

    2. Wählen Sie Route hinzufügen aus. Geben Sie für Destination 0.0.0.0/0 ein. Wählen Sie für Target (Ziel) das Internet-Gateway aus.

    3. Wenn Sie dies unterstützenIPv6, wählen Sie Route hinzufügen. Geben Sie für Destination ::/0 ein. Wählen Sie für Target (Ziel) das Internet-Gateway aus.

    4. Wählen Sie Änderungen speichern.