Edite os atributos do grupo-alvo para seu Network Load Balancer - Elastic Load Balancing

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Edite os atributos do grupo-alvo para seu Network Load Balancer

Depois de criar um grupo-alvo para seu Network Load Balancer, você pode editar os atributos do grupo-alvo.

Preservação do IP do cliente

Os Network Load Balancers podem preservar o endereço IP de origem dos clientes ao rotear solicitações para destinos de back-end. Quando você desativa a preservação do IP do cliente, o endereço IP de origem é o endereço IP privado do Network Load Balancer.

Por padrão, a preservação do IP do cliente está ativada (e não pode ser desativada), por exemplo, e nos grupos-alvo do tipo IP com UDP os protocolos UDP e TCP _. No entanto, você pode ativar ou desativar a preservação do IP do cliente para grupos de TLS destino TCP e grupos de destino usando o atributo do grupo de preserve_client_ip.enabled destino.

Configurações padrão
  • Grupos de destino de tipo de instância: habilitados

  • Grupos-alvo do tipo IP (UDP, TCP _UDP): Ativado

  • Grupos-alvo do tipo IP (TCP,TLS): Desativado

Requisitos e considerações
  • Quando a preservação do IP do cliente está ativada, o tráfego deve fluir diretamente do Network Load Balancer para o destino. O destino deve estar localizado no mesmo VPC local do Network Load Balancer ou em um peering VPC na mesma região.

  • A preservação do IP do cliente não é suportada ao usar um endpoint do Gateway Load Balancer para inspecionar o tráfego entre o Network Load Balancer e o destino (instância ou IP), mesmo que o destino esteja na mesma Amazon que o Network VPC Load Balancer.

  • Os seguintes tipos de instância não oferecem suporte à preservação do IP do cliente: C1,,CC1,CC2,,CG1, CG2CR1, G1, G2,,, M1 HI1HS1, M2, M3 e T1. Recomendamos que você registre esses tipos de instância como endereços IP, com a preservação do IP do cliente desabilitada.

  • A preservação do IP do cliente não tem efeito no tráfego de entrada de AWS PrivateLink. O IP de origem do AWS PrivateLink tráfego é sempre o endereço IP privado do Network Load Balancer.

  • A preservação do IP do cliente não é suportada quando um grupo ENI de destino contém AWS PrivateLink ENIs ou contém outro Network Load Balancer. Isso causará perda de comunicação com esses destinos.

  • A preservação do IP do cliente não afeta o tráfego convertido de IPv6 paraIPv4. O IP de origem desse tipo de tráfego é sempre o endereço IP privado do Network Load Balancer.

  • Quando você especifica destinos por tipo de Application Load Balancer, o IP do cliente de todo o tráfego de entrada é preservado pelo Network Load Balancer e enviado ao Application Load Balancer. Em seguida, o Application Load Balancer anexa o IP do cliente ao cabeçalho de solicitação X-Forwarded-For antes de enviá-lo ao destino.

  • As alterações de preservação do IP do cliente só entram em vigor para novas TCP conexões.

  • NATo loopback, também conhecido como hairpinning, não é suportado quando a preservação do IP do cliente está ativada. Quando ativado, você pode encontrar limitações de conexão TCP /IP relacionadas à reutilização observada de soquetes nos destinos. Essas limitações de conexão podem ocorrer quando um cliente, ou um NAT dispositivo na frente do cliente, usa o mesmo endereço IP de origem e porta de origem ao se conectar a vários nós do balanceador de carga simultaneamente. Se o balanceador de carga rotear essas conexões para o mesmo destino, as conexões aparecerão no destino como se viessem do mesmo soquete de origem, o que resultará em erros de conexão. Se isso acontecer, os clientes poderão tentar novamente (se a conexão falhar) ou se reconectar (se a conexão for interrompida). Você pode reduzir esse tipo de erro de conexão aumentando o número de portas temporárias de origem ou aumentando o número de destinos para o balanceador de carga. Você pode evitar esse tipo de erro de conexão desabilitando a preservação do IP do cliente ou desabilitando o balanceamento de carga entre zonas.

  • Quando a preservação do IP do cliente está desabilitada, o Network Load Balancer pode oferecer suporte a 55 mil conexões simultâneas ou a cerca de 55 mil conexões por minuto para cada destino exclusivo (endereço IP e porta). Se você exceder essas conexões, existirá uma probabilidade maior de erros de alocação de porta, resultando em falhas para o estabelecimento de novas conexões. Os erros na alocação de portas podem ser rastreados por meio da métrica PortAllocationErrorCount. Para corrigir erros na alocação de portas, adicione mais destinos ao grupo de destino. Para obter mais informações, consulte CloudWatch métricas para seu Network Load Balancer.

Para configurar a preservação do IP do cliente usando o console
  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em Load Balancing (Balanceamento de carga), escolha Grupos de destino.

  3. Escolha o nome do grupo de destino para abrir sua página de detalhes.

  4. Na guia Atributos, escolha Editar.

  5. Para habilitar a preservação do IP do cliente, ative Preservar endereços IP do cliente. Para desabilitar a preservação do IP do cliente, desative Preservar endereços IP do cliente.

  6. Escolha Salvar alterações.

Para ativar ou desativar a preservação do IP do cliente usando o AWS CLI

Use o modify-target-group-attributescomando com o preserve_client_ip.enabled atributo.

Por exemplo, use o comando a seguir para desabilitar a preservação do IP do cliente.

aws elbv2 modify-target-group-attributes --attributes Key=preserve_client_ip.enabled,Value=false --target-group-arn ARN

Sua saída deve ser similar ao exemplo a seguir.

{ "Attributes": [ { "Key": "proxy_protocol_v2.enabled", "Value": "false" }, { "Key": "preserve_client_ip.enabled", "Value": "false" }, { "Key": "deregistration_delay.timeout_seconds", "Value": "300" } ] }

Atraso do cancelamento do registro

Quando o registro de um destino é cancelado, o balanceador de carga para de criar novas conexões com o destino. O load balancer usa a diminuição de conexão para garantir que o tráfego em trânsito seja concluído nas conexões existentes. Se o destino com o registro cancelado permanecer íntegro e uma conexão existente não estiver ociosa, o balanceador de carga poderá continuar enviando tráfego para o destino. Para garantir que essas conexões existentes sejam fechadas, você pode executar uma das ações a seguir: habilitar o atributo do grupo de destino para encerramento de conexões, garantir que a instância não esteja íntegra antes de cancelar o registro dela ou fechar periodicamente conexões de clientes.

O estado inicial de um alvo de cancelamento de registro édraining, durante o qual o alvo continuará recebendo novas conexões. Por padrão, o load balancer altera o estado de um destino que terá o registro cancelado para unused após 300 segundos. Para alterar a quantidade de tempo que o load balancer aguarda antes de alterar o estado de um destino que terá o registro cancelado para unused, atualize o valor de atraso do cancelamento do registro. Recomendamos que você especifique um valor de, pelo menos, 120 segundos para garantir que as solicitações sejam concluídas.

Se você habilitar o atributo do grupo de destino para encerramento de conexões, as conexões com destinos com registros cancelados serão fechadas logo após o final do tempo limite de cancelamento do registro.

Para atualizar os atributos de cancelamento de registro usando o console
  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em Load Balancing (Balanceamento de carga), escolha Grupos de destino.

  3. Escolha o nome do grupo de destino para abrir sua página de detalhes.

  4. Na guia Atributos, escolha Editar.

  5. Para alterar o tempo limite de cancelamento do registro, insira um novo valor para Atraso do cancelamento de registro. Para garantir que as conexões existentes sejam fechadas após o cancelamento do registro dos destinos, selecione Encerrar conexões no cancelamento do registro.

  6. Escolha Salvar alterações.

Para atualizar os atributos de cancelamento de registro usando o AWS CLI

Use o modify-target-group-attributescomando.

Protocolo de proxy

Os Network Load Balancers usam o protocolo de proxy versão 2 para enviar informações de conexão adicionais, como a origem e o destino. O Proxy Protocol versão 2 oferece uma codificação binária do cabeçalho do Proxy Protocol. Com TCP ouvintes, o balanceador de carga acrescenta um cabeçalho de protocolo proxy aos dados. TCP Ele não descarta nem substitui os dados existentes, inclusive cabeçalhos do protocolo de proxy enviados pelo cliente ou quaisquer outros proxies, balanceadores de carga ou servidores no caminho da rede. Portanto, é possível receber mais de um cabeçalho do Proxy Protocol. Além disso, se houver outro caminho de rede para os destinos fora do Network Load Balancer, o primeiro cabeçalho do protocolo de proxy pode não ser do seu Network Load Balancer.

Se você especificar destinos por endereço IP, os endereços IP de origem fornecidos às suas aplicações dependerão do protocolo do grupo de destino, da seguinte forma:

  • TCPeTLS: Por padrão, a preservação do IP do cliente está desativada e os endereços IP de origem fornecidos aos seus aplicativos são os endereços IP privados dos nós do balanceador de carga. Para preservar o endereço IP do cliente, certifique-se de que o destino esteja localizado dentro do mesmo endereço VPC ou em um peering VPC e ative a preservação do IP do cliente. Se você precisar do endereço IP do cliente e essas condições não forem atendidas, ative o protocolo proxy e obtenha o endereço IP do cliente no cabeçalho do protocolo proxy.

  • UDPe TCP _UDP: Os endereços IP de origem são os endereços IP dos clientes, pois a preservação do IP do cliente é ativada por padrão para esses protocolos e não pode ser desativada. Se você especificar destinos por ID de instância, os endereços IP de origem fornecidos aos aplicativos serão os endereços IP dos clientes. No entanto, se preferir, você poderá ativar o Proxy Protocol e obter os endereços IP dos clientes que se encontram no cabeçalho do Proxy Protocol.

Se você especificar destinos por ID de instância, os endereços IP de origem fornecidos aos aplicativos serão os endereços IP dos clientes. No entanto, se preferir, você poderá ativar o Proxy Protocol e obter os endereços IP dos clientes que se encontram no cabeçalho do Proxy Protocol.

nota

TLSos ouvintes não oferecem suporte a conexões de entrada com cabeçalhos de protocolo proxy enviados pelo cliente ou por quaisquer outros proxies.

Conexões de verificação de integridade

Depois que habilitar o Proxy Protocol, o cabeçalho do Proxy Protocol também será incluído nas conexões de verificação de integridade do load balancer. No entanto, com conexões de verificação de integridade, as informações de conexão do cliente não serão enviadas no cabeçalho do Proxy Protocol.

VPCserviços de endpoint

Para o tráfego proveniente de consumidores de serviços por meio de um serviço de VPC endpoint, os endereços IP de origem fornecidos aos seus aplicativos são os endereços IP privados dos nós do balanceador de carga. Se os seus aplicativos precisam dos endereços IP dos consumidores de serviço, habilite o Proxy Protocol e obtenha os endereços IP no cabeçalho do Proxy Protocol.

O cabeçalho do Proxy Protocol também inclui o ID do endpoint. Essas informações são codificadas usando um vetor Type-Length-Value () TLV personalizado da seguinte forma.

Campo Comprimento (em octetos) Descrição

Tipo

1

PP2_ TYPE _ AWS (0xEA)

Length

2

O comprimento do valor

Valor

1

PP2_ SUBTYPE _ AWS_VPCE_ID (0x01)

variável (comprimento do valor menos 1) O ID do endpoint

Para ver um exemplo que analisa o TLV tipo 0xEA, consulte https://github.com/aws/ elastic-load-balancing-tools /tree/master/proprot.

Habilitar o Proxy Protocol

Antes de habilitar o Proxy Protocol em um grupo de destino, certifique-se de que os aplicativos esperem e possam analisar o cabeçalho do Proxy Protocol v2. Caso contrário, poderá haver falha neles. Para obter mais informações, consulte as versões 1 e 2 do PROXY protocolo.

Como habilitar o Proxy Protocol v2 usando o console
  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em Load Balancing (Balanceamento de carga), escolha Grupos de destino.

  3. Escolha o nome do grupo de destino para abrir a página de detalhes dele.

  4. Na guia Atributos, escolha Editar.

  5. Na página Editar atributos, selecione Protocolo de proxy v2.

  6. Escolha Salvar alterações.

Para habilitar o protocolo proxy v2 usando o AWS CLI

Use o modify-target-group-attributescomando.

Sessões persistentes

As sticky sessions são um mecanismo para rotear tráfego de clientes para o mesmo destino em um grupo de destino. Isso é útil para servidores que mantêm as informações de estado em ordem para fornecer uma experiência contínua aos clientes.

Considerações
  • O uso de sticky sessions pode levar a uma distribuição desigual de conexões e de fluxos, o que pode afetar a disponibilidade dos destinos. Por exemplo, todos os clientes por trás do mesmo NAT dispositivo têm o mesmo endereço IP de origem. Portanto, todo o tráfego desses clientes é roteado para o mesmo destino.

  • O load balancer poderá redefinir as sticky sessions de um grupo de destino se o estado de integridade de qualquer um de seus destinos mudar ou se você registrar ou cancelar o registro de destinos com o grupo de destino.

  • Quando o atributo de aderência é ativado para um grupo-alvo, as verificações passivas de saúde não são suportadas. Para obter mais informações, consulte Verificações de saúde para seus grupos-alvo.

  • Sessões fixas não são suportadas para TLS ouvintes.

Para habilitar sticky sessions usando o console
  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em Load Balancing (Balanceamento de carga), escolha Grupos de destino.

  3. Escolha o nome do grupo de destino para abrir sua página de detalhes.

  4. Na guia Atributos, escolha Editar.

  5. Em Configuração da seleção do destino, ative Perdurabilidade.

  6. Escolha Salvar alterações.

Para ativar sessões fixas usando o AWS CLI

Use o modify-target-group-attributescomando com o stickiness.enabled atributo.

Balanceamento de carga entre zonas para grupos de destino

Os nós do load balancer distribuem solicitações de clientes para destinos registrados. Quando o balanceamento de carga entre zonas estiver ativado, cada nó do balanceador de carga distribuirá o tráfego aos destinos registrados em todas as zonas de disponibilidade registradas. Quando o balanceamento de carga entre zonas estiver desativado, cada nó do balanceador de carga distribuirá o tráfego somente para os destinos registrados na respectiva zona de disponibilidade. Isso poderá ser usado se os domínios de falha zonais forem preferidos com relação aos regionais, garantindo que uma zona íntegra não seja afetada por uma zona não íntegra ou para melhorias gerais na latência.

Com Network Load Balancers, o balanceamento de carga entre zonas é desativado por padrão no nível do balanceador de carga, mas você pode ativá-lo a qualquer momento. Para grupos de destino, o padrão é usar a configuração do balanceador de carga, mas você pode substituir o padrão ativando ou desativando explicitamente o balanceamento de carga entre zonas em nível de grupo de destino.

Considerações
  • Ao ativar o balanceamento de carga entre zonas para um Network Load BalancerEC2, cobranças de transferência de dados se aplicam. Para obter mais informações, consulte Entendendo as cobranças de transferência de AWS dados no Guia do usuário de exportações de dados

  • A configuração do grupo de destino determina o comportamento de balanceamento de carga do grupo de destino. Por exemplo, se o balanceamento de carga entre zonas estiver habilitado em nível de balanceador de carga e desabilitado em nível de grupo de destino, o tráfego enviado ao grupo de destino não será roteado entre as zonas de disponibilidade.

  • Quando o balanceamento de carga entre zonas estiver desativado, verifique se você tem capacidade de destino suficiente em cada uma das zonas de disponibilidade do balanceador de carga para que cada zona possa fornecer a workload associada.

  • Quando o balanceamento de carga entre zonas estiver desativado, certifique-se de que todos os grupos de destino participem das mesmas zonas de disponibilidade. Uma zona de disponibilidade vazia é considerada não íntegra.

Modificar o balanceamento de carga entre zonas para um balanceador de carga

Você pode ativar ou desativar o balanceamento de carga entre zonas no balanceador de carga a qualquer momento.

Modificar o balanceamento de carga entre zonas para um balanceador de carga usando o console
  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em Load Balancing, selecione Load Balancers.

  3. Selecione o nome do balanceador de carga para abrir a página de detalhes dele.

  4. Na guia Atributos, escolha Editar.

  5. Na página Editar atributos do balanceador de carga, ative ou desative Balanceamento de carga entre zonas.

  6. Escolha Salvar alterações.

Para modificar o balanceamento de carga entre zonas para seu balanceador de carga usando o AWS CLI

Use o modify-load-balancer-attributescomando com o load_balancing.cross_zone.enabled atributo.

Modificar balanceamento de carga entre zonas para um grupo de destino

A configuração de balanceamento de carga entre zonas em nível de grupo de destino substitui a configuração em nível de balanceador de carga.

Você poderá ativar ou desativar o balanceamento de carga entre zonas em nível de grupo de destino se o tipo do grupo de destino for instance ou ip. Se o tipo de grupo de destino for alb, o grupo de destino sempre herdará do balanceador de carga a configuração de balanceamento de carga entre zonas.

Modificar o balanceamento de carga entre zonas para um grupo de destino usando o console
  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em Balanceamento de carga, escolha Grupos de destino.

  3. Selecione o nome do grupo de destino para abrir a página de detalhes dele.

  4. Na guia Atributos, escolha Editar.

  5. Na página Editar atributos do grupo de destino, selecione Ativado para Balanceamento de carga entre zonas.

  6. Escolha Salvar alterações.

Para modificar o balanceamento de carga entre zonas para um grupo-alvo usando o AWS CLI

Use o modify-target-group-attributescomando com o load_balancing.cross_zone.enabled atributo.

Encerramento da conexão para destinos não íntegros

O encerramento da conexão está habilitado por padrão. Quando o destino de um Network Load Balancer falha nas verificações de integridade configuradas e é considerado não íntegro, o balanceador de carga encerra as conexões estabelecidas e interrompe o roteamento de novas conexões para o destino. Com o encerramento da conexão desativado, o alvo ainda é considerado insalubre e não receberá novas conexões, mas as conexões estabelecidas são mantidas ativas, permitindo que elas se fechem normalmente.

O término da conexão para alvos não íntegros pode ser definido individualmente para cada grupo-alvo.

Modificar a configuração de encerramento da conexão usando o console
  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em Balanceamento de carga, selecione Grupos de destino.

  3. Escolha o nome do grupo de destino para abrir sua página de detalhes.

  4. Na guia Atributos, escolha Editar.

  5. Em Gerenciamento de estado não íntegro do destino, escolha se a opção Encerrar conexões quando os destinos se tornarem não íntegros está habilitada ou desabilitada.

  6. Escolha Salvar alterações.

Para modificar a configuração de encerramento da conexão usando o AWS CLI

Use o modify-target-group-attributescomando com o target_health_state.unhealthy.connection_termination.enabled atributo.

Intervalo de drenagem insalubre

Importante

O término da conexão deve ser desativado antes de ativar o intervalo de drenagem não íntegro.

Os destinos no unhealthy.draining estado são considerados não íntegros, não recebem novas conexões, mas mantêm as conexões estabelecidas durante o intervalo configurado. O intervalo de conexão não íntegra determina a quantidade de tempo que o alvo permanece no unhealthy.draining estado antes que seu estado se torneunhealthy. Se o alvo passar pelas verificações de integridade durante o intervalo de conexão não íntegra, seu estado healthy voltará a ser. Se um cancelamento de registro for acionado, o estado alvo se torna draining e o tempo limite de atraso do cancelamento de registro começa.

O intervalo de drenagem não saudável pode ser definido individualmente para cada grupo-alvo.

Para modificar o intervalo de drenagem insalubre usando o console
  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em Balanceamento de carga, selecione Grupos de destino.

  3. Escolha o nome do grupo de destino para abrir sua página de detalhes.

  4. Na guia Atributos, escolha Editar.

  5. Em Gerenciamento de estado não íntegro do Target, certifique-se de que a opção Encerrar conexões quando os destinos não estiverem íntegros esteja desativada.

  6. Insira um valor para Intervalo de drenagem insalubre.

  7. Escolha Salvar alterações.

Para modificar o intervalo de drenagem insalubre usando o AWS CLI

Use o modify-target-group-attributescomando com o target_health_state.unhealthy.draining_interval_seconds atributo.