Nozioni di base sui Gateway Load Balancer. - Sistema di bilanciamento del carico elastico
PanoramicaPrerequisitiFase 1: creare un Gateway Load BalancerFase 2: creazione di un servizio endpoint del Gateway Load BalancerFase 3: creare un endpoint del Gateway Load BalancerFase 4: configurazione del routing

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Nozioni di base sui Gateway Load Balancer.

I Gateway Load Balancer semplificano distribuzione, dimensionamento e gestione delle appliance virtuali di terze parti, ad esempio quelle di sicurezza.

In questo tutorial implementeremo un sistema di ispezione utilizzando un Gateway Load Balancer e un endpoint del Gateway Load Balancer.

Panoramica

Un endpoint Gateway Load Balancer è un VPC endpoint che fornisce connettività privata tra le appliance virtuali del provider VPC di servizi e i server delle applicazioni del consumatore del servizio. VPC Il Gateway Load Balancer viene distribuito nello stesso modo VPC in cui viene distribuito nelle appliance virtuali. Queste appliance vengono registrate come gruppo di destinazione del Gateway Load Balancer.

I server delle applicazioni vengono eseguiti in una sottorete (sottorete di destinazione) nel consumatore del servizioVPC, mentre l'endpoint Gateway Load Balancer si trova in un'altra sottorete dello stesso. VPC Tutto il traffico che entra nel consumatore del servizio VPC attraverso il gateway Internet viene prima instradato all'endpoint Gateway Load Balancer e quindi indirizzato alla sottorete di destinazione.

Analogamente, tutto il traffico che esce dai server dell'applicazione (sottorete di destinazione) viene instradato sull'endpoint Gateway Load Balancer prima di essere instradato nuovamente attraverso Internet. Il seguente diagramma di rete è una rappresentazione visiva di come un endpoint del Gateway Load Balancer viene utilizzato per accedere a un servizio endpoint.

Utilizzo di un endpoint Gateway Load Balancer per accedere a un servizio endpoint

Gli articoli numerati di seguito evidenziano e spiegano gli elementi mostrati nell'immagine precedente.

Traffico in transito da Internet ai server dell'applicazione (frecce blu):

  1. Il traffico entra nell'utente del servizio attraverso il gateway InternetVPC.

  2. Il traffico viene inviato all'endpoint Gateway Load Balancer come risultato del routing in ingresso.

  3. Il traffico viene inviato al Gateway Load Balancer che lo distribuisce a una delle appliance di sicurezza.

  4. Il traffico viene inviato nuovamente all'endpoint Gateway Load Balancer dopo l'ispezione da parte dell'appliance di sicurezza.

  5. Il traffico viene inviato ai server dell'applicazione (sottorete di destinazione).

Traffico in transito dall'applicazione a Internet (frecce arancioni):

  1. Il traffico viene inviato all'endpoint Gateway Load Balancer come risultati dell'instradamento predefinito configurato nella sottorete del server dell'applicazione.

  2. Il traffico viene inviato al Gateway Load Balancer che lo distribuisce a una delle appliance di sicurezza.

  3. Il traffico viene inviato nuovamente all'endpoint Gateway Load Balancer dopo l'ispezione da parte dell'appliance di sicurezza.

  4. Il traffico viene inviato al gateway Internet in base alla configurazione della tabella di instradamento.

  5. Il traffico viene reindirizzato a Internet.

Routing

Questa tabella di routing per il gateway Internet deve disporre di una voce che invia il traffico destinato ai server dell'applicazione all'endpoint Gateway Load Balancer. Per specificare l'endpoint Gateway Load Balancer, usa l'ID dell'endpoint. VPC L'esempio seguente mostra le route per una configurazione dualstack.

Destinazione Target
VPC IPv4 CIDR Locale
VPC IPv6 CIDR Locale
Subnet 1 IPv4 CIDR vpc-endpoint-id
Subnet 1 IPv6 CIDR vpc-endpoint-id

Questa tabella di routing per la sottorete con i server dell'applicazione deve disporre di voci che indirizzino tutto il traffico dai server dell'applicazione all'endpoint del Gateway Load Balancer.

Destinazione Target
VPC IPv4 CIDR Locale
VPC IPv6 CIDR Locale
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id

La tabella di routing per la sottorete con l'endpoint del Gateway Load Balancer deve instradare il traffico dall'ispezione alla destinazione finale. Per il traffico proveniente da Internet, la route locale garantisce che raggiunga i server dell'applicazione. Per il traffico proveniente dai server dell'applicazione, aggiungi voci che indirizzino tutto il traffico al gateway Internet.

Destinazione Target
VPC IPv4 CIDR Locale
VPC IPv6 CIDR Locale
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id

Prerequisiti

  • Assicurati che il consumatore del servizio disponga di almeno due sottoreti per ogni zona di disponibilità che VPC contiene i server delle applicazioni. Una sottorete è destinata all'endpoint del Gateway Load Balancer e l'altra ai server dell'applicazione.

  • Il Gateway Load Balancer e le destinazioni possono trovarsi nella stessa sottorete.

  • Non è possibile utilizzare una sottorete condivisa da un altro account per distribuire il Gateway Load Balancer.

  • Avviate almeno un'istanza del dispositivo di sicurezza in ogni sottorete del dispositivo di sicurezza del provider di servizi. VPC I gruppi di sicurezza per queste istanze devono consentire il UDP traffico sulla porta 6081.

Fase 1: creare un Gateway Load Balancer

Utilizza la procedura seguente per creare sistema di bilanciamento del carico, ascoltatore e gruppo di destinazione.

Per creare il load balancer, il listener e il gruppo target utilizzando la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione, in Bilanciamento del carico, scegli Sistemi di bilanciamento del carico.

  3. Selezionare Create Load Balancer (Crea sistema di bilanciamento del carico).

  4. Sotto a Gateway Load Balancer scegli Crea.

  5. Configurazione di base

    1. In Nome del sistema di bilanciamento del carico immetti un nome univoco per il sistema di bilanciamento del carico.

    2. Per il tipo di indirizzo IP, scegli IPv4di supportare solo IPv4 gli indirizzi o Dualstack per supportare entrambi gli IPv4 indirizzi. IPv6

  6. Mappatura della rete

    1. Per VPC, seleziona il fornitore di servizi. VPC

    2. Per le Mappature, seleziona tutte le zone di disponibilità in cui sono state avviate le istanze delle appliance di sicurezza e una sottorete per zona di disponibilità.

  7. Routing dell'ascoltatore IP

    1. Per Azione predefinita, seleziona un gruppo di destinazione esistente per ricevere il traffico. Questo gruppo target deve utilizzare il GENEVE protocollo.

      Se non hai un gruppo di destinazione, seleziona Crea gruppo di destinazione, si aprirà una nuova scheda nel browser. Scegli un tipo di target, inserisci un nome per il gruppo target e mantieni il GENEVE protocollo. Selezionala VPC con le istanze del tuo dispositivo di sicurezza. Modifica le impostazioni del controllo dell'integrità secondo necessità e aggiungi i tag di cui hai bisogno. Scegli Next (Successivo). È possibile registrare le istanze dell'appliance di sicurezza con il gruppo di destinazione ora o dopo aver completato questa procedura. Seleziona Crea gruppo di destinazione, quindi torna alla scheda precedente del browser.

    2. (Facoltativo) Espandi Tag dell'ascoltatore e aggiungi i tag di cui hai bisogno.

  8. (Facoltativo) Espandi Tag del sistema di bilanciamento del carico e aggiungi i tag di cui hai bisogno.

  9. Selezionare Create Load Balancer (Crea sistema di bilanciamento del carico).

Fase 2: creazione di un servizio endpoint del Gateway Load Balancer

Utilizza la procedura seguente per creare un servizio endpoint utilizzando un Gateway Load Balancer.

Creare di un servizio endpoint Gateway Load Balancer

  1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione scegli Endpoint Services (Servizi endpoint).

  3. Seleziona Crea servizio endpoint ed effettua le seguenti operazioni:

    1. Per Load balancer type (Tipo di load balancer), scegli Gateway.

    2. In Available load balancers (Load balancer disponibili), seleziona il Gateway Load Balancer.

    3. In Richiedi accettazione per l'endpoint, seleziona Accettazione richiesta per accettare manualmente le richieste di connessione al servizio endpoint. In caso contrario, queste vengono accettate automaticamente.

    4. Per Supported IP address types (Tipi di indirizzo IP supportati), esegui una delle operazioni seguenti:

      • Seleziona IPv4: abilita il servizio endpoint ad accettare IPv4 le richieste.

      • Seleziona IPv6: abilita il servizio endpoint ad accettare IPv6 le richieste.

      • Seleziona IPv4e IPv6: abilita il servizio endpoint ad accettare entrambe IPv4 le IPv6 richieste.

    5. (Facoltativo) Per aggiungere un tag, scegli Add new tag (Aggiungi nuovo tag) e inserisci la chiave e il valore del tag.

    6. Scegli Create (Crea) . Il traffico viene inviato all'endpoint del Gateway Load Balancer.

  4. Seleziona il propnuovo rio servizio endpoint e scegli Operazioni, Autorizza principali. Inserisci i consumatori ARNs del servizio autorizzati a creare un endpoint per il tuo servizio. Un consumatore del servizio può essere un utente, un IAM ruolo o Account AWS. Seleziona Allow principals (Consenti entità principali).

Fase 3: creare un endpoint del Gateway Load Balancer

Utilizza la procedura seguente per creare un endpoint Gateway Load Balancer che si connette al servizio endpoint del Gateway Load Balancer. Gli endpoint del Gateway Load Balancer sono zonali. È consigliabile creare un endpoint del Gateway Load Balancer per zona. Per ulteriori informazioni, consulta Accesso alle appliance virtuali tramite AWS PrivateLink nella Guida di AWS PrivateLink .

Per creare un endpoint Gateway Load Balancer

  1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, seleziona Endpoint.

  3. Seleziona Crea endpoint ed effettua le seguenti operazioni:

    1. In Service category (Categoria del servizio), scegli Other endpoint services (Altri servizi endpoint).

    2. In Nome servizio, specifica il nome del servizio annotato precedentemente, quindi seleziona Verifica servizio.

    3. Per VPC, seleziona il consumatore del servizioVPC.

    4. Per Sottoreti, seleziona una sottorete per l'endpoint del Gateway Load Balancer.

    5. Per IP address type (Tipo di indirizzo IP), seleziona una delle opzioni seguenti:

      • IPv4— Assegna IPv4 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate hanno intervalli di indirizzi. IPv4

      • IPv6— Assegna IPv6 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate sono solo sottoreti. IPv6

      • Dualstack: assegna entrambi IPv4 gli indirizzi alle interfacce di rete degli endpoint. IPv6 Questa opzione è supportata solo se tutte le sottoreti selezionate hanno entrambi gli intervalli di indirizzi. IPv4 IPv6

    6. (Facoltativo) Per aggiungere un tag, scegli Add new tag (Aggiungi nuovo tag) e inserisci la chiave e il valore del tag.

    7. Seleziona Crea endpoint. Lo stato iniziale è pending acceptance.

Per accettare la richiesta di connessione all'endpoint, utilizza la seguente procedura.

  1. Nel pannello di navigazione scegli Endpoint Services (Servizi endpoint).

  2. Selezionare il servizio endpoint.

  3. Dalla scheda Endpoint connections (Connessioni endpoint), seleziona la connessione endpoint.

  4. Per accettare la richiesta di connessione, scegli Actions (Operazioni), Accept endpoint connection request (Accetta richiesta di connessione endpoint). Quando viene richiesta la conferma, immetti accept e seleziona Accept (Accetta).

Fase 4: configurazione del routing

Configura le tabelle di routing per l'utente del servizio VPC come segue. Ciò consente alle appliance di sicurezza di eseguire ispezioni sul traffico in entrata destinato ai server dell'applicazione.

Configurazione del routing

  1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, seleziona Tabelle di routing.

  3. Seleziona la tabella di instradamento per il gateway Internet ed esegui le operazioni seguenti:

    1. Selezionare Actions (Operazioni), Edit routes (Modifica route).

    2. Selezionare Add route (Aggiungi route). In Destinazione, inserisci il IPv4 CIDR blocco della sottorete per i server delle applicazioni. Per Target, seleziona l'VPCendpoint.

    3. Se lo supportiIPv6, scegli Aggiungi percorso. In Destinazione, inserisci il IPv6 CIDR blocco della sottorete per i server delle applicazioni. Per Target, seleziona l'VPCendpoint.

    4. Scegli Save changes (Salva modifiche).

  4. Seleziona la tabella di instradamento per la sottorete con i server dell'applicazione ed esegui le operazioni seguenti:

    1. Selezionare Actions (Operazioni), Edit routes (Modifica route).

    2. Selezionare Add route (Aggiungi route). In Destination (Destinazione), immettere 0.0.0.0/0. Per Target, seleziona l'VPCendpoint.

    3. Se lo supportiIPv6, scegli Aggiungi percorso. In Destination (Destinazione), immettere ::/0. Per Target, seleziona l'VPCendpoint.

    4. Scegli Save changes (Salva modifiche).

  5. Seleziona la tabella di instradamento per la sottorete con l'endpoint Gateway Load Balancer ed esegui le operazioni seguenti:

    1. Selezionare Actions (Operazioni), Edit routes (Modifica route).

    2. Selezionare Add route (Aggiungi route). In Destination (Destinazione), immettere 0.0.0.0/0. Per Target, seleziona il gateway Internet.

    3. Se lo supportiIPv6, scegli Aggiungi percorso. In Destination (Destinazione), immettere ::/0. Per Target, seleziona il gateway Internet.

    4. Scegli Save changes (Salva modifiche).