Elastic Load Balancing (BP6)

DDoSLos ataques de gran tamaño pueden sobrepasar la capacidad de una sola EC2 instancia de Amazon. Con Elastic Load Balancing (ELB), puede reducir el riesgo de sobrecargar la aplicación distribuyendo el tráfico entre muchas instancias de backend. Elastic Load Balancing se puede escalar automáticamente, lo que le permite gestionar volúmenes más grandes cuando hay tráfico adicional imprevisto, por ejemplo, debido a aglomeraciones repentinas o DDoS ataques. En el caso de las aplicaciones creadas dentro de AmazonVPC, hay tres tipos ELBs a tener en cuenta, según el tipo de aplicación: Application Load Balancer (ALB), Network Load Balancer NLB () y Classic Load Balancer (). CLB

En el caso de las aplicaciones web, puede usar Application Load Balancer para enrutar el tráfico en función del contenido y aceptar únicamente solicitudes web bien estructuradas. Application Load Balancer bloquea muchos de DDoS los ataques más comunes, como SYN las inundaciones o los ataques de UDP reflexión, y protege la aplicación de dichos ataques. Application Load Balancer escala automáticamente para absorber el tráfico adicional cuando se detectan estos tipos de ataques. El escalamiento de las actividades debido a los ataques a la capa de infraestructura es transparente para AWS los clientes y no afecta a su factura.

Para obtener más información sobre cómo proteger las aplicaciones web con Application Load Balancer, consulte Introducción a Application Load Balancers.

Para HTTPS aplicaciones HTTP ajenas a/, puede usar Network Load Balancer para enrutar el tráfico a los destinos (por ejemplo, EC2 instancias de Amazon) con una latencia ultrabaja. Una consideración clave con Network Load Balancer es que todo el UDP tráfico que llegue al TCP SYN balanceador de cargas en un listener válido se enrutará a sus objetivos, no se absorberá; sin embargo, esto no se aplica a los TLS -listeners que finalizan la conexión. TCP En el caso de los balanceadores de carga de red con dispositivos de TCP escucha, recomendamos implementar Global Accelerator para protegerse de las inundaciones. SYN

Puede usar Shield Advanced para configurar la DDoS protección de las direcciones IP elásticas. Cuando se asigna una dirección IP elástica por zona de disponibilidad al Network Load Balancer, Shield Advanced aplicará DDoS las protecciones pertinentes al tráfico del Network Load Balancer.

Para obtener más información sobre la protección de TCP las UDP aplicaciones con Network Load Balancer, consulte Introducción a Network Load Balancers.

nota

Según la configuración del grupo de seguridad, es necesario que el recurso que utilice la seguridad para agrupar utilice el seguimiento de conexiones para rastrear la información sobre el tráfico, lo que puede afectar a la capacidad del equilibrador de cargas para procesar nuevas conexiones, ya que el número de conexiones rastreadas es limitado.

Una configuración de grupo de seguridad que contiene una regla de entrada que acepta tráfico desde cualquier dirección IP (por ejemplo, 0.0.0.0/0 o::/0) pero no tiene una regla correspondiente que permita el tráfico de respuesta, hace que el grupo de seguridad utilice la información de seguimiento de conexiones para permitir el envío del tráfico de respuesta. En caso de DDoS ataque, se puede agotar el número máximo de conexiones rastreadas. Para mejorar la DDoS resiliencia de su Application Load Balancer o Classic Load Balancer de acceso público, asegúrese de que el grupo de seguridad asociado a su balanceador de cargas esté configurado para no utilizar el seguimiento de conexiones (conexiones sin seguimiento), de modo que el flujo de tráfico no esté sujeto a los límites de seguimiento de conexiones.

Para ello, configure su grupo de seguridad con una regla que permita que la regla de entrada acepte TCP flujos desde cualquier dirección IP (0.0.0.0/0o::/0) y agregue la regla correspondiente en la dirección de salida que permita a este recurso enviar el tráfico de respuesta (permitir el rango de salida para cualquier dirección IP 0.0.0.0/0 o::/0) para todos los puertos (0-65535), de modo que el tráfico de respuesta se permita en función de la regla del grupo de seguridad y no de la información de seguimiento. Con esta configuración, Classic y Application Load Balancer no están sujetos a agotar los límites de seguimiento de conexiones que puedan afectar al establecimiento de nuevas conexiones con sus nodos de balanceador de carga, y le permiten escalar en función del aumento del tráfico en caso de un ataque. DDoS Puede encontrar más información sobre las conexiones no rastreadas en: Seguimiento de conexiones de grupos de seguridad: conexiones no rastreadas.

Evitar el seguimiento de las conexiones de los grupos de seguridad solo ayuda en los casos en que el DDoS tráfico se origina en una fuente permitida por el grupo de seguridad; el DDoS tráfico de fuentes que no están permitidas en el grupo de seguridad no afecta al seguimiento de las conexiones. En estos casos, no es necesario volver a configurar los grupos de seguridad para evitar el seguimiento de las conexiones, por ejemplo, si la lista de grupos de seguridad permitidos consta de rangos de IP en los que se tiene un alto grado de confianza, como el firewall corporativo de una empresa o una VPN salida IPs de confianza o. CDNs

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Amazon EC2 con Auto Scaling (BP7)

Utilice las ubicaciones de AWS Edge para escalar (BP1,BP3)