本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 应用程序负载均衡器的集成
<a name="load-balancer-integrations"></a>

您可以通过与其他几项 Amazon 服务集成来优化 Application Load Balancer 架构，从而增强应用程序的性能、安全性和可用性。

**Topics**
+ [Amazon 应用程序恢复控制器（ARC）](#arc-integration)
+ [亚马逊 CloudFront \$1 Amazon WAF](#cloudfront-waf)
+ [Amazon Global Accelerator](#global-accelerator)
+ [Amazon Config](#config-integration)
+ [Amazon WAF](#load-balancer-waf)

## Amazon 应用程序恢复控制器（ARC）
<a name="arc-integration"></a>

Amazon 应用程序恢复控制器（ARC）可帮助您将负载均衡器的流量从受损的可用区转移到同一区域内的正常可用区。使用可用区转移可以降低可用区中的停电、硬件问题或软件问题对应用程序所造成影响的持续时间和严重性。

有关更多信息，请参阅 [应用程序负载均衡器的可用区转移](zonal-shift.md)。

## 亚马逊 CloudFront \$1 Amazon WAF
<a name="cloudfront-waf"></a>

Amazon CloudFront 是一项网络服务，可帮助您提高所使用的应用程序的性能、可用性和安全性 Amazon。 CloudFront 充当使用应用程序负载均衡器的 Web 应用程序的分布式单一入口点。它可以实现应用程序负载均衡器的全球覆盖，使其能够从附近的边缘站点高效地为用户提供服务，为全球用户优化内容交付并减少延迟。通过在这些边缘站点自动缓存内容，可显著减少应用程序负载均衡器的负载，从而提高其性能和可扩展性。

Elastic Load Balancing 控制台中提供的一键式集成可创建具有推荐 Amazon WAF 安全保护的 CloudFront 分配，并将其关联到您的应用程序负载均衡器。这些 Amazon WAF 保护措施可在到达您的负载均衡器之前阻止常见的 Web 漏洞。您可以从控制台中负载均衡器的 “**集成**” 选项卡访问该 CloudFront 分配及其相应的安全控制面板。有关更多信息，请参阅《*亚马逊 CloudFront 开发者指南》*[中的 “管理 Amazon WAF CloudFront 安全控制面板](https://docs.amazonaws.cn/AmazonCloudFront/latest/DeveloperGuide/security-dashboard.html)” 和 *aw* s.amazon.com/blogs 上的 “[ CloudFront 安全控制面板、统一 CDN 和安全体验简介](https://www.amazonaws.cn/blogs/networking-and-content-delivery/introducing-cloudfront-security-dashboard-a-unified-cdn-and-security-experience/)”。

作为安全最佳实践，请将面向 Internet 的应用程序负载均衡器的安全组配置为仅允许来自 Amazon托管前缀列表的入站流量 CloudFront，并删除任何其他入站规则。有关更多信息，请参阅《*亚马逊 CloudFront 开发者指南*[》中的使用 CloudFront 托管前缀列表](https://docs.amazonaws.cn/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html)、[配置为 CloudFront 向请求添加自定义 HTTP 标头](https://docs.amazonaws.cn/AmazonCloudFront/latest/DeveloperGuide/restrict-access-to-load-balancer.html#restrict-alb-add-custom-header.html)和[配置 Application Load Balancer 以仅转发包含特定标头的请求](https://docs.amazonaws.cn/AmazonCloudFront/latest/DeveloperGuide/restrict-access-to-load-balancer.html#restrict-alb-route-based-on-header.html) >。

**注意**  
CloudFront 仅支持美国东部（弗吉尼亚北部）us-east-1 区域的 ACM 证书。如果您的 Application Load Balancer 在 us-east-1 以外的区域中配置了 ACM 证书的 HTTPS 侦听器，则需要将源连接从 HTTPS 更改 CloudFront 为 HTTP，或者在美国东部（弗吉尼亚北部）区域配置 ACM 证书并将其附加到您的分配中。 CloudFront 

## Amazon Global Accelerator
<a name="global-accelerator"></a>

为优化应用程序的可用性、性能和安全性，请为负载均衡器创建加速器。加速器将 Amazon 全球网络上的流量引导到静态 IP 地址，这些地址在离客户端最近的区域中充当固定端点。 Amazon Global Accelerator 受 Shield Standard 保护，该标准最大限度地减少了 DDo S 攻击造成的应用程序停机时间和延迟。

有关更多信息，请参阅《Amazon Global Accelerator 开发人员指南》中的[创建负载均衡器时添加加速器](https://docs.amazonaws.cn/global-accelerator/latest/dg/about-accelerators.alb-accelerator.html)**。

## Amazon Config
<a name="config-integration"></a>

要优化负载均衡器的监控和合规性，请进行设置 Amazon Config。 Amazon Config 提供了您 Amazon 账户中 Amazon 资源配置的详细视图。这些信息包括资源之间的相互关系以及资源的历史配置，让您可以了解资源配置和关系的历史变化。 Amazon Config 可以简化审计、合规性和问题排查。

有关更多信息，请参见[Amazon Config 开发人员指南](https://docs.amazonaws.cn/config/latest/developerguide/)。

## Amazon WAF
<a name="load-balancer-waf"></a>

您可以将 Application Load Balancer Amazon WAF 与 Application Load Balancer 配合使用，根据网络访问控制列表 (Web ACL) 中的规则允许或阻止请求。

默认情况下，如果负载均衡器无法从中获得响应 Amazon WAF，则会返回 HTTP 500 错误并且不会转发请求。如果您需要负载均衡器即使无法联系目标也能将请求转发到目标 Amazon WAF，则可以启用 Amazon WAF 失效打开。

**预定义网页 ACLs**  
启用 Amazon WAF 集成后，您可以选择使用预定义的规则自动创建新的 Web ACL。预定义的 Web ACL 包括三个 Amazon 托管规则，可针对最常见的安全威胁提供保护。
+ `AWSManagedRulesAmazonIpReputationList` ‐ Amazon IP 信誉列表规则组会阻止通常与机器人或其他威胁关联的 IP 地址。有关更多信息，请参阅《*Amazon WAF 开发人员指南*》中的 [Amazon IP reputation list managed rule group](https://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon)。
+ `AWSManagedRulesCommonRuleSet` ‐ 核心规则集（CRS）规则组有助于防止利用各种漏洞，包括 OWASP 出版物（如 [OWASP Top 10](https://owasp.org/www-project-top-ten/)）中描述的一些高风险和经常发生的漏洞。有关更多信息，请参阅《*Amazon WAF 开发人员指南*》中的 [Core rule set (CRS) managed rule group](https://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-baseline.html#aws-managed-rule-groups-baseline-crs)。
+ `AWSManagedRulesKnownBadInputsRuleSet` ‐ 已知错误输入规则组阻止请求模式，这些模式确认无效且与漏洞攻击或发现相关联。有关更多信息，请参阅《*Amazon WAF 开发人员指南*》中的 [Known bad inputs managed rule group](https://docs.amazonaws.cn/waf/latest/developerguide/aws-managed-rule-groups-baseline.html#aws-managed-rule-groups-baseline-known-bad-inputs)。

有关更多信息，请参阅《*Amazon WAF 开发人员指南》 ACLs Amazon WAF*[中的使用 Web](https://docs.amazonaws.cn/waf/latest/developerguide/web-acl.html)。