本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Application Load Balancer 的集成
您可以通过与其他几项 Amazon 服务集成来优化 Application Load Balancer 架构,从而增强应用程序的性能、安全性和可用性。
负载均衡器集成
Amazon 应用程序恢复控制器 (ARC)
Amazon 应用程序恢复控制器 (ARC) 可帮助您为正在运行的应用程序做好准备并完成更快的恢复操作 Amazon。区域移位和区域自动移位是 Amazon 应用程序恢复控制器 (ARC) 的功能。
通过区域切换,您只需一个操作即可将流量从受损的可用区转移出去。这样,您就可以继续从 Amazon Web Services 区域中的其他运行状况良好的可用区运行。
使用 zonal autoshift,您可以授权 Amazon 在活动期间代表您从可用区域转移应用程序的资源流量,以帮助缩短恢复时间。 Amazon 当内部监控显示存在可能影响客户的可用区域受损时,将启动自动换档。 Amazon 启动自动切换时,您为区域自动切换配置的资源的应用程序流量开始从可用区转移出去。
当您启动可用区转移时,负载均衡器会停止向受影响的可用区发送资源的新流量。ARC 会立即创建可用区转移。但是,可用区中正在进行的现有连接也可能需要短暂的时间才能结束,具体取决于客户端行为和连接重用情况。根据您的 DNS 设置和其他因素,现有连接可能只需几分钟即可完成,也可能需要更长时间。有关更多信息,请参阅《Amazon 应用程序恢复控制器(ARC)开发人员指南》中的 Limit the time that clients stay connected to your endpoints。
要在应用程序负载均衡器上使用区域偏移功能,必须将 ARC 区域偏移积分属性设置为 “启用”。
在启用 Amazon 应用程序恢复控制器 (ARC) 集成并开始使用区域转移之前,请查看以下内容:
-
只能为单个可用区中的特定负载均衡器启动可用区转移。无法为多个可用区启动可用区转移。
-
Amazon 当多个基础设施问题影响服务时,主动从 DNS 中删除区域负载均衡器 IP 地址。在开始可用区转移之前,请务必检查当前的可用区容量。如果您的负载均衡器已关闭跨可用区负载均衡,而您使用可用区转移来删除可用区负载均衡器 IP 地址,则受可用区转移影响的可用区也会失去目标容量。
-
当应用程序负载均衡器是网络负载均衡器的目标时,请始终从网络负载均衡器启动可用区转移。如果从应用程序负载均衡器启动可用区转移,则网络负载均衡器将不会识别转移,并继续向应用程序负载均衡器发送流量。
有关更多信息,请参阅《Amazon 应用程序恢复控制器 (ARC) 开发人员指南》中的 ARC 区域转移最佳实践。
支持跨区域的应用程序负载均衡器
在启用跨区域负载平衡的 Application Load Balancer 上开始区域转移时,所有目标流量都将在受影响的可用区中被阻止,并且区域 IP 地址将从 DNS 中删除。
好处:
-
更快地从可用区故障中恢复。
-
如果在可用区中检测到故障,则能够将流量转移到健康的可用区。
-
您可以通过模拟和识别故障来测试应用程序的完整性,以防止计划外停机。
可用区转移管理覆盖
属于 Application Load Balancer 的目标将包括一个与状态AdministrativeOverride无关的新TargetHealth状态。
当 Application Load Balancer 开始区域转移时,该区域内所有被移出的目标都被视为被管理覆盖。Application Load Balancer 将停止将新流量路由到被管理覆盖的目标,但是现有连接在有机关闭之前会保持不变。
可能的 AdministrativeOverride 状态包括:
- unknown
-
由于内部错误,无法传播状态
- no_override
-
目标上当前没有活动的覆盖
- zonal_shift_active
-
可用区转移在目标可用区处于活动状态
亚马逊 CloudFront + Amazon WAF
Amazon CloudFront 是一项网络服务,可帮助您提高所使用的应用程序的性能、可用性和安全性 Amazon。 CloudFront 充当使用应用程序负载均衡器的 Web 应用程序的分布式单一入口点。它可以扩展应用程序负载均衡器的全球覆盖范围,使其能够从附近的边缘位置高效地为用户提供服务,优化内容交付并减少全球用户的延迟。这些边缘位置的自动内容缓存可显著减少Application Load Balancer的负载,从而提高其性能和可扩展性。
Elastic Load Balancing 控制台中提供的一键式集成可创建具有推荐 Amazon WAF 安全保护的 CloudFront 分配,并将其关联到您的应用程序负载均衡器。这些 Amazon WAF 保护措施可在到达您的负载均衡器之前阻止常见的 Web 漏洞。您可以从控制台中负载均衡器的 “集成” 选项卡访问该 CloudFront 分配及其相应的安全控制面板。有关更多信息,请参阅《亚马逊 CloudFront 开发者指南》中的 “管理 Amazon WAF CloudFront 安全控制面板” 和 aw s.amazon.com/blogs 上的 “ CloudFront 安全控制面板、统一 CDN 和安全体验简介
作为安全最佳实践,请将面向 Internet 的应用程序负载均衡器的安全组配置为仅允许来自 Amazon托管前缀列表的入站流量 CloudFront,并删除任何其他入站规则。有关更多信息,请参阅《亚马逊 CloudFront 开发者指南》中的使用 CloudFront 托管前缀列表、配置为 CloudFront 向请求添加自定义 HTTP 标头和配置 Application Load Balancer 以仅转发包含特定标头的请求 >。
注意
CloudFront 仅支持美国东部(弗吉尼亚北部)us-east-1 区域的 ACM 证书。如果您的 Application Load Balancer 在 us-east-1 以外的区域中配置了 ACM 证书的 HTTPS 侦听器,则需要将源连接从 HTTPS 更改 CloudFront 为 HTTP,或者在美国东部(弗吉尼亚北部)区域配置 ACM 证书并将其附加到您的分配中。 CloudFront
Amazon Global Accelerator
要优化应用程序的可用性、性能和安全性,请为负载均衡器创建加速器。加速器将 Amazon 全球网络上的流量引导到静态 IP 地址,这些地址在离客户端最近的区域中充当固定端点。 Amazon Global Accelerator 受 Shield Standard 保护,该标准最大限度地减少了 DDo S 攻击造成的应用程序停机时间和延迟。
有关更多信息,请参阅《Amazon Global Accelerator 开发人员指南》中的在创建负载均衡器时添加加速器。
Amazon Config
要优化负载均衡器的监控和合规性,请进行设置 Amazon Config。 Amazon Config 提供了您 Amazon 账户中 Amazon 资源配置的详细视图。这包括资源如何相互关联,以及它们过去是如何配置的,以便您可以看到配置和关系如何随着时间的推移而变化。 Amazon Config 简化审计、合规和故障排除。
有关更多信息,请参阅什么是 Amazon Config? 在《Amazon Config 开发人员指南》中。
Amazon WAF
您可以将 Application Load Balancer Amazon WAF 与 Application Load Balancer 配合使用,根据网络访问控制列表 (Web ACL) 中的规则允许或阻止请求。
默认情况下,如果负载均衡器无法从中获得响应 Amazon WAF,则会返回 HTTP 500 错误并且不会转发请求。如果您需要负载均衡器即使无法联系目标也能将请求转发到目标 Amazon WAF,则可以启用 Amazon WAF 失效打开。
预定义的网页 ACLs
启用 Amazon WAF 集成后,您可以选择使用预定义的规则自动创建新的 Web ACL。预定义的 Web ACL 包括三个 Amazon 托管规则,可针对最常见的安全威胁提供保护。
-
AWSManagedRulesAmazonIpReputationList‐ Amazon IP 信誉列表规则组会阻止通常与机器人或其他威胁关联的 IP 地址。有关更多信息,请参阅《Amazon WAF 开发人员指南》中的 Amazon IP reputation list managed rule group。 -
AWSManagedRulesCommonRuleSet‐ 核心规则集(CRS)规则组有助于防止利用各种漏洞,包括 OWASP 出版物(如 OWASP Top 10)中描述的一些高风险和经常发生的漏洞。有关更多信息,请参阅《Amazon WAF 开发人员指南》中的 Core rule set (CRS) managed rule group。 -
AWSManagedRulesKnownBadInputsRuleSet‐ 已知错误输入规则组阻止请求模式,这些模式确认无效且与漏洞攻击或发现相关联。有关更多信息,请参阅《Amazon WAF 开发人员指南》中的 Known bad inputs managed rule group。
有关更多信息,请参阅《Amazon WAF 开发人员指南》 ACLs Amazon WAF中的使用 Web。