Erste Schritte mit Gateway Load Balancer - Elastic Load Balancing
ÜbersichtVoraussetzungenSchritt 1: Erstellen eines Gateway Load BalancerSchritt 2: Erstellen eines Gateway Load Balancer-EndpunktdienstesSchritt 3: Erstellen eines Gateway Load Balancer-EndpunktsSchritt 4: Routing konfigurieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit Gateway Load Balancer

Gateway Load Balancers erleichtern die Bereitstellung, Skalierung und Verwaltung virtueller Appliances von Drittanbietern, wie z. B. Sicherheits-Appliances.

In diesem Tutorial werden wir ein Inspektionssystem mit einem Gateway Load Balancer und einem Gateway Load Balancer-Endpunkt implementieren.

Übersicht

Ein Gateway Load Balancer-Endpunkt ist ein VPC-Endpunkt, der private Konnektivität zwischen virtuellen Appliances in der Serviceanbieter-VPC und Anwendungsservern in der Service-Consumer-VPC bereitstellt. Der Gateway Load Balancer wird in der gleichen VPC wie die virtuellen Appliances bereitgestellt. Diese Appliances werden als Zielgruppe des Gateway Load Balancers registriert.

Die Anwendungsserver laufen in einem Subnetz (Ziel-Subnetz) in der Service-Consumer-VPC, während sich der Gateway Load Balancer-Endpunkt in einem anderen Subnetz derselben VPC befindet. Der gesamte Datenverkehr, der über das Internet-Gateway in die VPC des Service-Konsumenten gelangt, wird zunächst an den Gateway Load Balancer-Endpunkt und dann an das Ziel-Subnetz weitergeleitet.

Ebenso wird der gesamte Datenverkehr, der die Anwendungsserver (Ziel-Subnetz) verlässt, an den Gateway Load Balancer-Endpunkt weitergeleitet, bevor er zurück ins Internet geleitet wird. Das folgende Netzwerkdiagramm veranschaulicht, wie ein Gateway Load Balancer-Endpunkt für den Zugriff auf einen Endpunktdienst verwendet wird.

Verwenden eines Gateway Load Balancer-Endpunkts für den Zugriff auf einen Endpunktdienst

Die folgenden nummerierten Punkte heben die in der vorangehenden Abbildung gezeigten Elemente hervor und erläutern sie.

Verkehr vom Internet zur Anwendung (blaue Pfeile):

  1. Der Datenverkehr gelangt über das Internet-Gateway in die Service-Verbraucher-VPC.

  2. Der Verkehr wird als Ergebnis des Ingress-Routings an den Gateway Load Balancer-Endpunkt gesendet.

  3. Der Datenverkehr wird an den Gateway Load Balancer gesendet, der den Datenverkehr an eine der Security Appliances weiterleitet.

  4. Der Datenverkehr wird an den Gateway Load Balancer-Endpunkt zurückgesendet, nachdem er von der Security Appliance geprüft wurde.

  5. Der Verkehr wird an die Anwendungsserver (Ziel-Subnetz) gesendet.

Verkehr von der Anwendung zum Internet (orangefarbene Pfeile):

  1. Der Datenverkehr wird aufgrund der im Subnetz des Anwendungsservers konfigurierten Standardroute an den Gateway Load Balancer-Endpunkt gesendet.

  2. Der Datenverkehr wird an den Gateway Load Balancer gesendet, der den Datenverkehr an eine der Security Appliances weiterleitet.

  3. Der Datenverkehr wird an den Gateway Load Balancer-Endpunkt zurückgesendet, nachdem er von der Security Appliance geprüft wurde.

  4. Der Datenverkehr wird basierend auf der Routing-Tabellenkonfiguration an das Internet-Gateway gesendet.

  5. Der Datenverkehr wird zurück ins Internet geleitet.

Routing

Die Routing-Tabelle des Internet-Gateways muss einen Eintrag enthalten, der den für die Anwendungsserver bestimmten Datenverkehr an den Gateway Load Balancer-Endpunkt weiterleitet. Um den Gateway Load Balancer-Endpunkt anzugeben, verwenden Sie die ID des VPC-Endpunkts. Das folgende Beispiel zeigt die Routen für eine Dualstack-Konfiguration.

Bestimmungsort Ziel
VPC – IPv4 CIDR Local
VPC – IPv6 CIDR Local
Subnetz-1-IPv4-CIDR vpc-endpoint-id
Subnetz-1-IPv6-CIDR vpc-endpoint-id

Die Routing-Tabelle für das Subnetz mit den Anwendungsservern muss Einträge enthalten, die den gesamten Verkehr von den Anwendungsservern zum Gateway Load Balancer-Endpunkt leiten.

Bestimmungsort Ziel
VPC – IPv4 CIDR Local
VPC – IPv6 CIDR Local
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id

Die Routing-Tabelle für das Subnetz mit dem Gateway Load Balancer-Endpunkt muss den Verkehr, der von der Prüfung zurückkommt, an sein endgültiges Ziel leiten. Bei Datenverkehr, der aus dem Internet stammt, sorgt die lokale Route dafür, dass er die Anwendungsserver erreicht. Fügen Sie für den Datenverkehr, der von den Anwendungsservern stammt, Einträge hinzu, die den gesamten Datenverkehr an das Internet-Gateway weiterleiten.

Bestimmungsort Ziel
VPC – IPv4 CIDR Local
VPC – IPv6 CIDR Local
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id

Voraussetzungen

  • Stellen Sie sicher, dass die Service Consumer-VPC mindestens zwei Subnetze für jede Availability Zone hat, die Anwendungsserver enthält. Ein Subnetz ist für den Gateway Load Balancer-Endpunkt, das andere für die Anwendungsserver.

  • Der Gateway Load Balancer und die Ziele können sich im selben Subnetz befinden.

  • Sie können kein Subnetz verwenden, das von einem anderen Konto gemeinsam genutzt wird, um den Gateway Load Balancer bereitzustellen.

  • Starten Sie mindestens eine Security Appliance Instance in jedem Security Appliance-Subnetz in der Service Provider-VPC. Die Sicherheitsgruppen für diese Instances müssen UDP-Verkehr auf Port 6081 zulassen.

Schritt 1: Erstellen eines Gateway Load Balancer

Gehen Sie wie folgt vor, um Ihren Load Balancer, Listener und Ihre Zielgruppe zu erstellen.

So erstellen Sie den Load Balancer, den Listener und die Zielgruppe

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich unter Load Balancing die Option Load Balancers aus.

  3. Wählen Sie Load Balancer erstellen aus.

  4. Wählen Sie unter Gateway Load Balancer die Option Erstellen aus.

  5. Basiskonfiguration

    1. Geben Sie im Feld Name des Load Balancers einen Namen für Ihren Load Balancer ein.

    2. Wählen Sie für den IP-Adresstyp die Option IPv4 aus, um nur IPv4-Adressen zu unterstützen, oder Dualstack, um IPv4- und IPv6-Adressen zu unterstützen.

  6. Netzwerkzuordnung

    1. Wählen Sie für VPC die Service Provider-VPC aus.

    2. Wählen Sie unter Zuordnungen alle Verfügbarkeitszonen aus, in denen Sie Security Appliance Instances gestartet haben, und ein Subnetz pro Verfügbarkeitszone.

  7. IP-Listener-Routing

    1. Wählen Sie unter Standardaktion eine bestehende Zielgruppe aus, die den Datenverkehr erhalten soll. Diese Zielgruppe muss das GENEVE-Protokoll verwenden.

      Wenn Sie keine Zielgruppe haben, wählen Sie Zielgruppe erstellen. Dadurch wird ein neuer Tab in Ihrem Browser geöffnet. Wählen Sie einen Zieltyp, geben Sie einen Namen für die Zielgruppe ein und behalten Sie das GENEVE-Protokoll bei. Wählen Sie die VPC mit Ihren Security Appliance Instances aus. Ändern Sie die Einstellungen für die Zustandsprüfung nach Bedarf und fügen Sie alle benötigten Tags hinzu. Wählen Sie Weiter. Sie können Ihre Security Appliance Instances jetzt oder nach Abschluss dieses Verfahrens bei der Zielgruppe registrieren. Wählen Sie Zielgruppe erstellen und kehren Sie dann zur vorherigen Browser-Registerkarte zurück.

    2. (Optional) Erweitern Sie die Listener-Tags und fügen Sie die benötigten Tags hinzu.

  8. (Optional) Erweitern Sie die Load Balancer-Tags und fügen Sie die benötigten Tags hinzu.

  9. Wählen Sie Load Balancer erstellen aus.

Schritt 2: Erstellen eines Gateway Load Balancer-Endpunktdienstes

Gehen Sie wie folgt vor, um einen Endpunktdienst mit Ihrem Gateway Load Balancer zu erstellen.

So erstellen Sie einen Gateway Load Balancer-Endpunktdienst

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunktservices aus.

  3. Wählen Sie das folgende Verfahren aus, um das folgende Verfahren zu erstellen:

    1. Wählen Sie für Load-Balancer-Typ Gateway aus.

    2. Wählen Sie für Verfügbare Load Balancer Ihren Gateway-Load-Balancer aus.

    3. Wählen Sie unter Akzeptanz für Endpunkt erforderlich die Option Akzeptanz erforderlich, um Verbindungsanfragen zu Ihrem Dienst manuell zu akzeptieren. Andernfalls werden sie automatisch akzeptiert.

    4. Führen Sie für Unterstützte IP-Adresstyp einen der folgenden Schritte aus:

      • Wählen Sie IPv4 – Aktivieren Sie den Endpunkt-Service, um IPv4-Anfragen anzunehmen.

      • Wählen Sie IPv6 – Aktivieren Sie den Endpunkt-Service, um IPv6-Anfragen zu akzeptieren.

      • Wählen Sie IPv4 und IPv6 – Aktivieren Sie den Endpunkt-Service, um IPv4- und IPv6-Anfragen zu akzeptieren.

    5. (Optional) Sie fügen ein Tag hinzu, indem Sie Add new tag (Neuen Tag hinzufügen) auswählen und den Tag-Schlüssel und -Wert eingeben.

    6. Wählen Sie Erstellen aus. Notieren Sie sich den Namen des Dienstes; Sie benötigen ihn, wenn Sie den Endpunkt erstellen.

  4. Wählen Sie den neuen Endpunktdienst aus und wählen Sie Aktionen, Prinzipale zulassen. Geben Sie die ARNs der Service-Consumer ein, die einen Endpunkt zu Ihrem Service erstellen dürfen. Ein Dienstkonsument kann ein Benutzer, eine IAM-Rolle oder ein AWS-Konto sein. Wählen Sie auf Allow principals (Prinzipale erlauben) aus.

Schritt 3: Erstellen eines Gateway Load Balancer-Endpunkts

Gehen Sie wie folgt vor, um einen Gateway Load Balancer-Endpunkt zu erstellen, der eine Verbindung zu Ihrem Gateway Load Balancer-Endpunktdienst herstellt. Gateway Load Balancer Endpunkte sind zonal. Es wird empfohlen, einen Gateway Load Balancer-Endpunkt pro Zone zu erstellen. Weitere Informationen finden Sie unter Zugriff auf virtuelle Appliances über AWS PrivateLink im AWS PrivateLink Handbuch.

So erstellen Sie einen Gateway Load Balancer-Endpunkt

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Wählen Sie Endpunkt erstellen und gehen Sie wie folgt vor:

    1. Wählen Sie für Servicekategorie Andere Endpunkt-Services.

    2. Geben Sie bei Dienstname den Namen des Dienstes ein, den Sie zuvor notiert haben, und wählen Sie dann Dienst überprüfen.

    3. Wählen Sie für VPC die Service Consumer VPC.

    4. Wählen Sie unter Subnets ein Subnetz für den Gateway Load Balancer-Endpunkt aus.

    5. Wählen Sie für IP address type (IP-Adressentyp) eine der folgenden Optionen aus:

      • IPv4 – Weisen Sie Ihren Endpunkt-Netzwerkschnittstellen IPv4-Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze über IPv4-Adressbereiche verfügen.

      • IPv6 – Weisen Sie Ihren Endpunktnetzwerkschnittstellen IPv6-Adressen. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze reine IPv6-Subnetze sind.

      • Dualstack – Zuweisen von IPv4- und IPv6-Adressen zu Ihren Endpunktnetzwerkschnittstellen. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze sowohl IPv4- als auch IPv6-Adressbereiche aufweisen.

    6. (Optional) Sie fügen ein Tag hinzu, indem Sie Add new tag (Neuen Tag hinzufügen) auswählen und den Tag-Schlüssel und -Wert eingeben.

    7. Wählen Sie Endpunkt erstellen. Der ursprüngliche Status ist pending acceptance.

Um die Endpunkt-Verbindungsanfrage zu akzeptieren, gehen Sie wie folgt vor.

  1. Wählen Sie im Navigationsbereich Endpunktservices aus.

  2. Wählen Sie den Endpunktservice aus.

  3. Wählen Sie die Endpunktverbindung auf der Registerkarte Endpoint connections (Endpunktverbindungen) aus.

  4. Um die Verbindungsanforderung zu akzeptieren, wählen Sie Actions (Aktionen), Accept endpoint connection request (Endpunkt-Verbindungsanforderung akzeptieren). Wenn Sie zur Bestätigung aufgefordert werden, geben Sie accept ein und wählen Sie dann Accept (Akzeptieren).

Schritt 4: Routing konfigurieren

Konfigurieren Sie die Routing-Tabelle für die Service Consumer VPC wie folgt. Dadurch können die Security Appliances eine Sicherheitsüberprüfung des eingehenden Datenverkehrs durchführen, der für die Anwendungsserver bestimmt ist.

So konfigurieren Sie das Routing

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Route Tables (Routing-Tabellen) aus.

  3. Wählen Sie die Routing-Tabelle für den Internet-Gateway aus, und führen Sie die folgenden Schritte aus:

    1. Wählen Sie Aktionen und dann Routen bearbeiten.

    2. Wählen Sie Route hinzufügen aus. Geben Sie für Destination (Ziel) den IPv4-CIDR-Block des Subnetzes für die Anwendungsserver ein. Wählen Sie für Target (Ziel) den VPC-Endpunkt aus.

    3. Wenn Sie IPv6 unterstützen, wählen Sie Add route (Route hinzufügen). Geben Sie für Destination (Ziel) den IPv6-CIDR-Block des Subnetzes für die Anwendungsserver ein. Wählen Sie für Target (Ziel) den VPC-Endpunkt aus.

    4. Wählen Sie Änderungen speichern.

  4. Wählen Sie die Routing-Tabelle für das Subnetz mit den Anwendungsservern aus, und führen Sie folgende Schritte aus:

    1. Wählen Sie Aktionen und dann Routen bearbeiten.

    2. Wählen Sie Route hinzufügen aus. Geben Sie für Destination 0.0.0.0/0 ein. Wählen Sie für Target (Ziel) den VPC-Endpunkt aus.

    3. Wenn Sie IPv6 unterstützen, wählen Sie Add route (Route hinzufügen). Geben Sie für Destination ::/0 ein. Wählen Sie für Target (Ziel) den VPC-Endpunkt aus.

    4. Wählen Sie Änderungen speichern.

  5. Wählen Sie die Routing-Tabelle für das Subnetz mit dem Gateway-Load-Balancer-Endpunkt aus und tun Sie Folgendes:

    1. Wählen Sie Aktionen und dann Routen bearbeiten.

    2. Wählen Sie Route hinzufügen aus. Geben Sie für Destination 0.0.0.0/0 ein. Wählen Sie für Target (Ziel) das Internet-Gateway aus.

    3. Wenn Sie IPv6 unterstützen, wählen Sie Add route (Route hinzufügen). Geben Sie für Destination ::/0 ein. Wählen Sie für Target (Ziel) das Internet-Gateway aus.

    4. Wählen Sie Save Changes.