開始使用 Gateway Load Balancer - Elastic Load Balancing
概要先決條件步驟 1:建立 Gateway Load Balancer步驟 2:建立 Gateway Load Balancer 端點服務步驟 3:建立 Gateway Load Balancer 端點步驟 4:設定路由

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

開始使用 Gateway Load Balancer

Gateway Load Balancer 可讓您輕鬆部署、擴展與管理第三方虛擬應用裝置,如安全應用裝置。

在本教學課程中,我們將使用 Gateway Load Balancer 和 Gateway Load Balancer 端點來實作檢查系統。

概要

Gateway Load Balancer 端點是一種 VPC 端點,它在服務提供者 VPC 的虛擬應用裝置和服務消費者 VPC 的應用程式伺服器之間提供私有連線。在與虛擬應用裝置相同的 VPC 中部署 Gateway Load Balancer。這些虛擬應用裝置作為 Gateway Load Balancer 的目標群組註冊。

應用程式伺服器在服務消費者 VPC 中的一個子網路 (目的地子網路) 中執行,而 Gateway Load Balancer 端點位於相同 VPC 的另一個子網路中。所有透過網際網路閘道進入服務消費者 VPC 的流量會先路由至 Gateway Load Balancer 端點,然後再路由至目的地子網路。

同樣,離開應用程式伺服器 (目的地子網路) 的所有流量會路由至 Gateway Load Balancer 端點,然後再路由回網際網路。下列網路圖是如何使用 Gateway Load Balancer 端點存取端點服務的視覺化表示。

使用閘道負載平衡器端點存取端點服務

下面的帶編號項目突出顯示和解釋在前述網路圖中顯示的元素。

從網際網路到應用程式的流量 (藍色箭頭):

  1. 流量透過網際網路閘道進入服務消費者 VPC。

  2. 作為傳入路由的結果,流量傳送至 Gateway Load Balancer 端點。

  3. 流量傳送至 Gateway Load Balancer,後者將此流量分發至其中一個安全應用裝置。

  4. 流量會在由安全應用裝置檢查之後傳回到 Gateway Load Balancer 端點。

  5. 流量傳送至應用程式伺服器 (目的地子網路)。

從應用程式到網際網路的流量 (橙色箭頭):

  1. 作為在應用程式伺服器子網路上設定的預設路由的結果,流量傳送至 Gateway Load Balancer 端點。

  2. 流量傳送至 Gateway Load Balancer,後者將此流量分發至其中一個安全應用裝置。

  3. 流量會在由安全應用裝置檢查之後傳回到 Gateway Load Balancer 端點。

  4. 根據路由表組態,將流量傳送至網際網路閘道。

  5. 流量會傳回網際網路。

路由

網際網路閘道的路由表必須具有相應條目,即將目的地為應用程式伺服器的流量傳送至 Gateway Load Balancer 端點。若要指定 Gateway Load Balancer 端點,請使用 VPC 端點的 ID。如下範例顯示雙堆疊組態的路由。

目的地 目標
VPC A IPv4 CIDR 區域
VPC A IPv6 CIDR 區域
子網路 1 IPv4 CIDR vpc-endpoint-id
子網路 1 IPv6 CIDR vpc-endpoint-id

帶應用程式伺服器的子網路的路由表必須具有相應條目,即將應用程式伺服器傳出的所有流量路由至 Gateway Load Balancer 端點。

目的地 目標
VPC A IPv4 CIDR 區域
VPC A IPv6 CIDR 區域
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id

帶 Gateway Load Balancer 端點的子網路的路由表必須將從檢查傳回的流量路由至其最終目的地。對於源自網際網路的流量,本機路由會確保流量到達應用程式伺服器。對於源自應用程式伺服器的流量,請新增相應條目,即將所有流量路由至網際網路閘道。

目的地 目標
VPC A IPv4 CIDR 區域
VPC A IPv6 CIDR 區域
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id

先決條件

  • 確定服務消費者 VPC 對於包含應用程式伺服器的每個可用區域至少有兩個子網路。一個子網路用於 Gateway Load Balancer 端點,另一個子網用於應用程式伺服器。

  • Gateway Load Balancer 和目標可以位於相同的子網路中。

  • 您無法使用從其他帳戶共用的子網路來部署 Gateway Load Balancer。

  • 在服務消費者 VPC 中的每個安全應用裝置子網路內啟動至少一個安全應用裝置執行個體。這些執行個體的安全群組必須允許連接埠 6081 上的 UDP 流量。

步驟 1:建立 Gateway Load Balancer

使用下列程序建立您的負載平衡器、接聽程式和目標群組。

建立負載平衡器、接聽程式和目標群組

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格的 Load Balancing (負載平衡) 下方,選擇 Load Balancers (負載平衡器)

  3. 選擇 Create load balancer (建立負載平衡器)。

  4. Gateway Load Balancer 下,選擇建立

  5. 基本組態

    1. 針對 Load balancer name (負載平衡器名稱),輸入負載平衡器的名稱。

    2. 針對 IP 地址類型,選擇 IPv4 以僅支援 IPv4 地址,或選擇 Dualstack 以同時支援 IPv4 和 IPv6 地址。

  6. 網路映射

    1. 對於 VPC,請選取服務提供者 VPC。

    2. 對於映射,選取您在其中啟動安全應用裝置執行個體的所有可用區域,以及每個可用區域選取一個子網路。

  7. IP 接聽程式路由

    1. 對於預設動作,請選取要接收流量的現有目標群組。此目標群組必須使用 GENEVE 通訊協定。

      如果您沒有目標群組,請選擇 建立目標群組,這會在瀏覽器中開啟新索引標籤。選擇目標類型,輸入此目標群組的名稱,並且保持使用 GENEVE 通訊協定。選取具有安全應用裝置執行個體的 VPC。視需要修改運作狀態檢查設定,並新增您需要的任何標籤。選擇 Next (下一步)。您可以立即向目標群組註冊安全應用裝置執行個體,或在完成此程序後註冊。選擇建立目標群組,然後返回上一個瀏覽器索引標籤。

    2. (選擇性) 展開接聽程式標籤,然後新增您需要的標籤。

  8. (選擇性) 展開負載平衡器標籤,然後新增您需要的標籤。

  9. 選擇 Create load balancer (建立負載平衡器)。

步驟 2:建立 Gateway Load Balancer 端點服務

使用下列程序,利用 Gateway Load Balancer 建立端點服務。

建立 Gateway Load Balancer 端點服務

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Endpoints Services (端點服務)

  3. 選擇建立端點服務並執行如下動作:

    1. 針對 Load balancer type (負載平衡器類型),選取 Gateway (閘道)。

    2. 針對 Available load balancers (可用的負載平衡器),請選取您的 Gateway Load Balancer。

    3. 對於要求接受端點,選取要求接受,以要求手動接受對端點服務的連線請求。否則,系統會自動接受這些請求。

    4. 針對 Supported IP address types (支援的 IP 地址類型),執行下列其中一個操作:

      • 選取 IPv4 - 啟用端點服務以接受 IPv4 請求。

      • 選取 IPv6 - 啟用端點服務以接受 IPv6 請求。

      • 選取 IPv4IPv6 - 啟用端點服務以接受 IPv4 和 IPv6 請求。

    5. (選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤鍵和標籤值。

    6. 選擇 Create (建立)。注意服務名稱;在建立端點時,您將需要此名稱。

  4. 選取新端點服務,然後選擇動作允許主體。輸入服務消費者的 ARN,允許這些服務消費者建立服務的端點。服務消費者可以是使用者、IAM 角色或 AWS 帳戶。選擇 Allow principals (允許委託人)

步驟 3:建立 Gateway Load Balancer 端點

使用下列程序建立連線至 Gateway Load Balancer 端點服務的 Gateway Load Balancer 端點。Gateway Load Balancer 端點是區域性的。建議您為每個區域建立一個 Gateway Load Balancer 端點。如需詳細資訊,請參閱 AWS PrivateLink 指南中的透過 AWS PrivateLink 存取虛擬應用裝置

建立閘道負載平衡器端點

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 選擇建立端點,然後執行下列動作:

    1. 針對 Service category (服務類別) 中,選擇​ Other endpoint services (其他端點服務)

    2. 對於服務名稱,請輸入之前註明的服務名稱,然後選擇驗證服務

    3. 對於 VPC,選取服務消費者 VPC。

    4. 對於子網路,選取 Gateway Load Balancer 端點的子網路。

    5. 針對 IP address type (IP 地址類型),從下列選項中選擇:

      • IPv4 - 將 IPv4 地址指派給您的端點網路介面。只有當所有選取的子網都具有 IPv4 地址範圍時,才支援此選項。

      • IPv6 - 將 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網都是 IPv6 子網時,才支援此選項。

      • Dualstack - 將 IPv4 和 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網都具有 IPv4 和 IPv6 地址範圍時,才支援此選項。

    6. (選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤鍵和標籤值。

    7. 選擇 Create endpoint (建立端點)。起始狀態為 pending acceptance

若要接受端點連線請求,請使用下列程序。

  1. 在導覽窗格中,選擇 Endpoints Services (端點服務)

  2. 選取端點服務。

  3. Endpoint connections (端點連線) 標籤中,選取端點連線。

  4. 若要接受連線請求,請選擇 Actions (動作)、Accept endpoint connection request (接受端點連線請求)。出現確認提示時,請輸入 accept,然後選擇 Accept (接受)。

步驟 4:設定路由

為服務消費者 VPC 設定下列路由表。如此可讓安全應用裝置針對傳送至應用程式伺服器的傳入流量執行安全檢查。

設定路由

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Route tables (路由表)。

  3. 選取網際網路閘道路由表並執行以下操作:

    1. 選擇 Actions (動作)、Edit routes (編輯路由)。

    2. 選擇 Add route (新增路由)。針對 Destination (目的地),請輸入應用程式伺服器子網的 IPv4 CIDR 區塊。針對 Target (目標),請選取 VPC 端點。

    3. 如果您支援 IPv6,請選擇 Add route (新增路由)。針對 Destination (目的地),請輸入應用程式伺服器子網的 IPv6 CIDR 區塊。針對 Target (目標),請選取 VPC 端點。

    4. 選擇 Save changes (儲存變更)

  4. 為具有應用程式伺服器的子網選取路由表並執行以下操作:

    1. 選擇 Actions (動作)、Edit routes (編輯路由)。

    2. 選擇 Add route (新增路由)。針對 Destination (目標),輸入 0.0.0.0/0。針對 Target (目標),請選取 VPC 端點。

    3. 如果您支援 IPv6,請選擇 Add route (新增路由)。針對 Destination (目標),輸入 ::/0。針對 Target (目標),請選取 VPC 端點。

    4. 選擇 Save changes (儲存變更)

  5. 選取具有 Gateway Load Balancer 端點之子網路的路由表,並執行以下操作:

    1. 選擇 Actions (動作)、Edit routes (編輯路由)。

    2. 選擇 Add route (新增路由)。針對 Destination (目標),輸入 0.0.0.0/0。針對 Target (目標),請選取網際網路閘道。

    3. 如果您支援 IPv6,請選擇 Add route (新增路由)。針對 Destination (目標),輸入 ::/0。針對 Target (目標),請選取網際網路閘道。

    4. 選擇 Save changes (儲存變更)