Introducción a los equilibradores de carga de red - Elastic Load Balancing
Información generalRequisitos previosPaso 1: crear un equilibrador de carga de puerta de enlaceCreación de un servicio de punto de conexión del equilibrador de carga de puerta de enlace Creación de un punto de conexión del equilibrador de carga de puerta de enlace Paso 4: Configuración del enrutamiento

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Introducción a los equilibradores de carga de red

Los equilibradores de carga de puerta de enlace permiten implementar, escalar y administrar dispositivos virtuales de terceros, como dispositivos de seguridad.

En este tutorial, implementaremos un sistema de inspección con un equilibrador de carga y un punto de conexión del equilibrador de carga de puerta de enlace.

Información general

Un punto final de Gateway Load Balancer es un VPC punto final que proporciona conectividad privada entre los dispositivos virtuales del proveedor VPC de servicios y los servidores de aplicaciones del consumidor de servicios. VPC El Load Balancer de Gateway se implementa de la VPC misma manera que los dispositivos virtuales. Registre los dispositivos virtuales en un grupo de destino para el equilibrador de carga de puerta de enlace.

Los servidores de aplicaciones se ejecutan en una subred (subred de destino) del consumidor del servicioVPC, mientras que el punto final del Gateway Load Balancer se encuentra en otra subred de la misma. VPC Todo el tráfico que ingresa al consumidor del servicio VPC a través de la puerta de enlace de Internet se enruta primero al punto final del Gateway Load Balancer y, a continuación, a la subred de destino.

Del mismo modo, todo el tráfico que sale de los servidores de aplicaciones (subred de destino) se dirige al punto de conexión del equilibrador de carga de puerta de enlace antes de que se dirija nuevamente a Internet. El siguiente diagrama de red es una representación visual de cómo se utiliza un punto de conexión de equilibrador de carga de puerta de enlace para acceder a un servicio de punto de conexión.

Uso de un punto de conexión del equilibrador de carga de puerta de enlace para acceder a un servicio de punto de conexión

Los elementos numerados que siguen, destacan y explican los elementos que se muestran en la imagen anterior.

Tráfico de Internet a las aplicaciones (flechas azules):

  1. El tráfico ingresa al consumidor del servicio a VPC través de la pasarela de Internet.

  2. El tráfico se envía al punto de conexión del equilibrador de carga de la puerta de enlace , como resultado del enrutamiento de entrada.

  3. El tráfico se envía al Equilibrador de carga de la puerta de enlace , que distribuye el tráfico a uno de los dispositivos de seguridad.

  4. El tráfico se envía nuevamente al punto de conexión del equilibrador de carga de la puerta de enlace después de la inspección.

  5. El tráfico se envía a los servidores de aplicaciones (subred de destino).

Tráfico de los servidores de aplicaciones a Internet (flechas naranjas):

  1. El tráfico se envía al punto de conexión del equilibrador de carga de la puerta de enlace como resultado de la ruta predeterminada configurada en la subred del servidor de aplicaciones.

  2. El tráfico se envía al Equilibrador de carga de la puerta de enlace , que distribuye el tráfico a uno de los dispositivos de seguridad.

  3. El tráfico se envía nuevamente al punto de conexión del equilibrador de carga de la puerta de enlace después de la inspección.

  4. El tráfico se envía a la puerta de enlace de Internet en función de la configuración de la tabla de enrutamiento.

  5. El tráfico se dirige nuevamente a Internet.

Enrutamiento

La tabla de enrutamiento para la puerta de enlace de Internet debe tener una entrada que envíe el tráfico destinado a los servidores de aplicaciones al punto de conexión del equilibrador de carga de la puerta de enlace. Para especificar el punto final del Gateway Load Balancer, utilice el ID del VPC punto final. En el siguiente ejemplo se muestran las rutas para la configuración de doble pila.

Destino Objetivo
VPC IPv4 CIDR Local
VPC IPv6 CIDR Local
Subnet 1 IPv4 CIDR vpc-endpoint-id
Subnet 1 IPv6 CIDR vpc-endpoint-id

La tabla de enrutamiento para la subred con los servidores de aplicaciones debe tener entradas que envíen todo el tráfico desde los servidores de aplicaciones al punto de conexión del equilibrador de carga de la puerta de enlace.

Destino Objetivo
VPC IPv4 CIDR Local
VPC IPv6 CIDR Local
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id

La tabla de enrutamiento para la subred con el punto de conexión del equilibrador de carga de la puerta de enlace debe enviar el tráfico que regresa de la inspección hasta su destino final. En el caso del tráfico que proviene de Internet, la ruta local se asegura de que llegue a los servidores de aplicaciones. Para el tráfico que proviene de los servidores de aplicaciones, agregue una ruta que dirija todo el tráfico a la puerta de enlace de Internet.

Destino Objetivo
VPC IPv4 CIDR Local
VPC IPv6 CIDR Local
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id

Requisitos previos

  • Asegúrese de que el consumidor del servicio VPC tenga al menos dos subredes para cada zona de disponibilidad que contenga servidores de aplicaciones. Una subred es para los servidores de aplicaciones y la otra es para el punto de conexión del equilibrador de carga de puerta de enlace.

  • El equilibrador de carga de puerta de enlace y los destinos pueden estar en la misma subred.

  • No puede usar una subred compartida desde otra cuenta para implementar el equilibrador de carga de puerta de enlace.

  • Inicie al menos una instancia de dispositivo de seguridad en cada subred del dispositivo de seguridad del proveedor de servicios. VPC Los grupos de seguridad de estas instancias deben permitir el UDP tráfico en el puerto 6081.

Paso 1: crear un equilibrador de carga de puerta de enlace

Siga el procedimiento a continuación para crear un equilibrador de carga, un oyente y un grupo de destino.

Para crear el balanceador de cargas, el agente de escucha y el grupo objetivo mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, en Equilibración de carga, elija equilibradores de carga.

  3. Elija Crear un equilibrador de carga.

  4. En Equilibrador de carga de puerta de enlace, seleccione Crear.

  5. Configuración básica

    1. En Load Balancer name (Nombre del equilibrador de carga), escriba un nombre para el equilibrador de carga.

    2. Para el tipo de dirección IP, elija IPv4admitir solo IPv4 direcciones o Dualstack para admitir ambas IPv4 direcciones. IPv6

  6. Asignación de redes

    1. Para VPC, seleccione el proveedor de servicios. VPC

    2. Para los mapeos, seleccione todas las zonas de disponibilidad en las que inició las instancias del dispositivo de seguridad y una subred por zona de disponibilidad.

  7. Enrutamiento del oyente de IP

    1. Como acción predeterminada, seleccione un grupo de destino existente para recibir el tráfico. Este grupo objetivo debe usar el GENEVE protocolo.

      Si no tiene un grupo de destino, elija Crear grupo de destino, que abrirá una nueva pestaña en su navegador. Elija un tipo de objetivo, introduzca un nombre para el grupo objetivo y conserve el GENEVE protocolo. Seleccione las instancias VPC con su dispositivo de seguridad. Modifique la configuración de la comprobación de estado según sea necesario y añada las etiquetas que necesite. Elija Next (Siguiente). Puede registrar las instancias del dispositivo de seguridad en el grupo de destino ahora o después de finalizar este procedimiento. Seleccione Crear grupo de destino y, a continuación, vuelva a la pestaña anterior del navegador.

    2. (Opcional) Amplíe las etiquetas de oyente y añada las etiquetas que necesite.

  8. (Opcional) Amplíe las etiquetas del equilibrador de carga y añada las etiquetas que necesite.

  9. Elija Crear un equilibrador de carga.

Creación de un servicio de punto de conexión del equilibrador de carga de puerta de enlace

Utilice el siguiente procedimiento para crear un servicio de punto de conexión con un equilibrador de carga de puerta de enlace.

Creación de un servicio de punto de conexión del equilibrador de carga de puerta de enlace

  1. Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Endpoint Services (Servicios de punto de conexión).

  3. Seleccione Crear servicio de punto de conexión y haga lo siguiente:

    1. En Load balancer type (Tipo de equilibrador de carga), elija Puerta de enlace.

    2. Para Available load balancers (Equilibradores de carga disponibles), seleccione el equilibrador de carga de la puerta de enlace.

    3. En Require acceptance for endpoint (Solicitar aceptación para punto de conexión), seleccione Acceptance required (Aceptación solicitada) para establecer que las solicitudes de conexión al servicio de punto de conexión se deben aceptar de forma manual. De lo contrario, se aceptan de forma automática.

    4. En Supported IP address types (Tipos de direcciones IP compatibles), haga una de las siguientes acciones:

      • Seleccione IPv4: habilite el servicio de punto final para aceptar IPv4 solicitudes.

      • Seleccione IPv6: habilite el servicio de punto final para que acepte IPv6 solicitudes.

      • Seleccione IPv4y IPv6: habilite el servicio de punto final para que acepte tanto IPv6 las solicitudes como IPv4 las demás.

    5. (Opcional) Para agregar una etiqueta, elija Add new tag (Agregar etiqueta nueva) e ingrese la clave y el valor de la etiqueta.

    6. Seleccione Crear. Anote el nombre del servicio; lo necesitará al crear el punto de conexión.

  4. Seleccione el servicio de punto de conexión y elija Actions (Acciones), Allow principals (Permitir entidades principales). Introduzca los consumidores ARNs del servicio a los que se les permite crear un punto final para su servicio. Un consumidor de servicios puede ser un usuario, un IAM rol o Cuenta de AWS. Elija Allow principals (Permitir entidades principales).

Creación de un punto de conexión del equilibrador de carga de puerta de enlace

Utilice el siguiente procedimiento para crear un punto de conexión del equilibrador de carga de puerta de enlace que se conecte al servicio de punto de conexión para el sistema de inspección. Puntos de conexión del equilibrador de carga de la puerta de enlace Le recomendamos que cree un punto de conexión de equilibrador de carga de puerta de enlace por zona. Para obtener más información, consulte Acceso a dispositivos virtuales mediante AWS PrivateLink en la Guía de.AWS PrivateLink

Para crear un punto de conexión del equilibrador de carga de puerta de enlace

  1. Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Puntos de conexión.

  3. Elija Crear punto de conexión y haga lo siguiente:

    1. En Service category (Categoría del servicio), elija Other endpoint services (Otros servicios de punto de conexión).

    2. En Service name (Nombre del servicio), ingrese el nombre del servicio y luego elija Verify service (Comprobar servicio).

    3. Para VPC, seleccione el consumidor del servicioVPC.

    4. En el caso de las subredes, seleccione una subred para el punto de conexión del equilibrador de carga de la puerta de enlace.

    5. En IP address type (Tipo de dirección IP), elija entre las siguientes opciones:

      • IPv4— Asigne IPv4 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de IPv4 direcciones.

      • IPv6— Asigne IPv6 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas son IPv6 solo subredes.

      • Dualstack: IPv4 asigne ambas IPv6 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen ambos IPv4 rangos de direcciones. IPv6

    6. (Opcional) Para agregar una etiqueta, elija Add new tag (Agregar etiqueta nueva) e ingrese la clave y el valor de la etiqueta.

    7. Seleccione Crear punto de conexión. El estado inicial es.pending acceptance

Para aceptar la solicitud de conexión del punto de conexión, utilice el siguiente procedimiento.

  1. En el panel de navegación, elija Endpoint Services (Servicios de punto de conexión).

  2. Seleccione el servicio de punto de conexión.

  3. En la pestaña Endpoint connections (Conexiones del punto de conexión), seleccione la conexión del punto de conexión.

  4. Para aceptar la solicitud de conexión, elija Actions (Acciones), Accept endpoint connection request (Aceptar solicitud de conexión del punto de conexión). Cuando se le solicite confirmación, ingrese accept y luego, elija Accept (Aceptar).

Paso 4: Configuración del enrutamiento

Configure las tablas de rutas para el consumidor de servicios de la VPC siguiente manera. Esto permite que los dispositivos de seguridad realicen una inspección de seguridad del tráfico entrante con destino a los servidores de aplicaciones.

Para configurar el enrutamiento

  1. Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Tablas de enrutamiento.

  3. Seleccione la tabla de enrutamiento para la puerta de enlace de Internet y realice lo siguiente:

    1. Elija Actions (Acciones), Edit routes (Editar rutas).

    2. Seleccione Add route (Agregar ruta). En Destination, introduzca el IPv4 CIDR bloque de la subred para los servidores de aplicaciones. En Target, seleccione el VPC punto final.

    3. Si lo admiteIPv6, elija Agregar ruta. En Destino, introduzca el IPv6 CIDR bloque de la subred para los servidores de aplicaciones. En Target, seleccione el VPC punto final.

    4. Elija Guardar cambios.

  4. Seleccione la tabla de enrutamiento para la subred con los servidores de aplicaciones y haga lo siguiente:

    1. Elija Actions (Acciones), Edit routes (Editar rutas).

    2. Seleccione Add route (Agregar ruta). En Destino, escriba 0.0.0.0/0. En Target, seleccione el VPC punto final.

    3. Si lo admiteIPv6, elija Agregar ruta. En Destino, escriba ::/0. En Target, selecciona el VPC punto final.

    4. Elija Guardar cambios.

  5. Seleccione la tabla de enrutamiento para la subred con el punto de conexión del equilibrador de carga de puerta de enlace y realice lo siguiente:

    1. Elija Actions (Acciones), Edit routes (Editar rutas).

    2. Seleccione Add route (Agregar ruta). En Destino, escriba 0.0.0.0/0. En Target (Objetivo), seleccione la puerta de enlace de Internet.

    3. Si lo admiteIPv6, elija Agregar ruta. En Destino, escriba ::/0. En Target (Objetivo), seleccione la puerta de enlace de Internet.

    4. Elija Guardar cambios.