网关负载均衡器入门 - Elastic Load Balancing
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

网关负载均衡器入门

借助网关负载均衡器可以轻松部署、扩展和管理第三方虚拟设备,例如安全设备。

在本教程中,我们将使用一个网关负载均衡器和一个网关负载均衡器端点,实现一个检验系统。

概述

Gateway Load Balancer VPC 端点是在服务提供商中的虚拟设备和服务使用者VPC中的应用程序服务器之间提供私有连接的终端节点VPC。Gateway Load Balancer 的部署方式与虚拟设备的部署方式VPC相同。这些设备将会注册到网关负载均衡器的目标组。

应用程序服务器在服务使用者的一个子网(目标子网)中运行VPC,而 Gateway Load Balancer 端点则在同一个子网的另一个子网中运行VPC。所有VPC通过 Internet 网关进入服务使用者的流量首先路由到 Gateway Load Balancer 端点,然后路由到目标子网。

同样,离开应用程序服务器(目的地子网)的所有流量会首先路由到网关负载均衡器端点,然后再路由回互联网。以下网络图形象地演示了如何使用网关负载均衡器访问端点服务。

使用网关负载均衡器终端节点访问终端节点服务

随后的编号项突出显示并解释了上面网络图中显示的元素。

从互联网到应用程序的流量(蓝色箭头):
  1. 流量VPC通过互联网网关进入服务消费者。

  2. 根据入口路由将流量发送到网关负载均衡器端点。

  3. 将流量发送到网关负载均衡器,然后由后者将流量分配到其中的一个安全设备。

  4. 安全设备完成检查后,将流量发送回网关负载均衡器端点。

  5. 将流量发送到应用程序服务器(目的地子网)。

从应用程序到互联网的流量(橙色箭头):
  1. 根据应用程序服务器子网上配置的默认路由表,将流量发送到网关负载均衡器端点。

  2. 将流量发送到网关负载均衡器,然后由后者将流量分配到其中的一个安全设备。

  3. 安全设备完成检查后,将流量发送回网关负载均衡器端点。

  4. 根据路由表配置,将流量发送到互联网网关。

  5. 流量被路由回互联网。

路由

互联网网关的路由表必须具有将发往应用程序服务器的流量路由到网关负载均衡器端点的条目。要指定 Gateway Load Balancer 终端节点,请使用VPC终端节点的 ID。以下示例显示了 dualstack 配置的路由。

目标位置 目标
VPC IPv4 CIDR 本地
VPC IPv6 CIDR 本地
Subnet 1 IPv4 CIDR vpc-endpoint-id
Subnet 1 IPv6 CIDR vpc-endpoint-id

应用程序服务器所在子网的路由表必须具有将来自应用程序服务器的所有流量路由到网关负载均衡器端点的条目。

目标位置 目标
VPC IPv4 CIDR 本地
VPC IPv6 CIDR 本地
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id

网关负载均衡器端点所在子网的路由表必须将从检查返回的流量路由到最终目的地。对于来自互联网的流量,本地路由将确保其会到达应用程序服务器。对于来自应用程序服务器的流量,则添加会将所有流量路由到互联网网关的条目。

目标位置 目标
VPC IPv4 CIDR 本地
VPC IPv6 CIDR 本地
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id

先决条件

  • 确保服务使用者VPC在包含应用程序服务器的每个可用区中至少有两个子网。其中一个子网用于网关负载均衡器端点,另一个用于应用程序服务器。

  • 网关负载均衡器和目标可以位于同一子网中。

  • 您不能使用其他账户共享的子网来部署网关负载均衡器。

  • 在服务提供商的每个安全设备子网中至少启动一个安全设备实例VPC。这些实例的安全组必须允许端口 6081 上的UDP流量。

第 1 步:创建网关负载均衡器

按照以下过程创建负载均衡器、侦听器和目标组。

使用控制台创建负载均衡器、侦听器和目标组
  1. 打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在导航窗格中的负载平衡下,选择负载均衡器

  3. 选择创建负载均衡器

  4. 网关负载均衡器下,选择创建

  5. 基本配置

    1. 对于Load balancer name(负载均衡器名称),输入负载均衡器的名称。

    2. 对于 IP 地址类型,请选择IPv4仅支持IPv4地址,或者选择 Dualstack 以同时支持IPv4和IPv6地址。

  6. 网络映射

    1. 对于 VPC,请选择服务提供商VPC。

    2. 对于映射,请选择您启动了安全设备实例的所有可用区,然后为每个可用区选择一个子网。

  7. IP 侦听器路由

    1. 对于默认操作,选择一个现有的目标组以用来接收流量。该目标群体必须使用该GENEVE协议。

      如果您没有目标组,请选择创建目标组,这时将在浏览器中打开一个新选项卡。选择目标类型,输入目标组的名称并保留GENEVE协议。选择VPC带有您的安全设备实例的。根据需要修改运行状况检查设置,并添加需要的任何标签。选择下一步。您可以立即向目标组注册安全设备实例,也可以在完成此过程之后再注册。选择创建目标组,然后返回上一个浏览器选项卡。

    2. (可选)展开侦听器标签并添加所需的标签。

  8. (可选)展开负载均衡器标签并添加所需的标签。

  9. 选择创建负载均衡器

第 2 步:创建网关负载均衡器端点服务

按照以下过程创建将使用您的网关负载均衡器的端点服务。

创建网关负载均衡器端点服务
  1. 打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择创建端点服务,然后执行以下操作:

    1. Load balancer type(负载均衡器类型)选项中选择 Gateway(网关)。

    2. 对于 Available load balancers(可用负载均衡器),选择您的网关负载均衡器。

    3. 对于需要接受以使用端点,选择需要接受以手动接受对端点服务的连接请求。否则这些请求将被自动接受。

    4. 对于 Supported IP address types(支持的 IP 地址类型),执行以下任一操作:

      • 选择 IPv4-启用终端节点服务以接受IPv4请求。

      • 选择 IPv6-启用终端节点服务以接受IPv6请求。

      • 选择IPv4IPv6-使终端节点服务能够同时接受IPv4和IPv6请求。

    5. (可选)若要添加标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

    6. 选择创建。记下服务名称;您在创建端点时将需要此名称。

  4. 选择新的端点服务,然后选择操作允许主体。输入允许ARNs为服务创建终端节点的服务使用者。服务使用者可以是用户、IAM角色或 Amazon Web Services 账户。选择 Allow principals(允许委托人)

第 3 步:创建网关负载均衡器端点

按照以下过程,创建可连接到您的网关负载均衡器端点服务的网关负载均衡器端点。网关负载均衡器端点是基于可用区的。我们建议您在每个可用区中创建一个网关负载均衡器端点。有关更多信息,请参阅《Amazon PrivateLink 指南》中的 通过 Amazon PrivateLink访问虚拟设备

要创建网关负载均衡器终端节点
  1. 打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择端点

  3. 选择创建端点,然后执行以下操作:

    1. Service category(服务类别)选项中,选择 Other endpoint services(其他端点服务)。

    2. 对于服务名称,输入您之前记下的服务名称,然后选择验证服务

    3. 对于 VPC,选择服务使用者VPC。

    4. 对于子网,选择网关负载均衡器端点的子网。

    5. 对于 IP address type(IP 地址类型),可从以下选项中进行选择:

      • IPv4— 为您的端点网络接口分配IPv4地址。仅当所有选定的子网都有IPv4地址范围时,才支持此选项。

      • IPv6— 为您的端点网络接口分配IPv6地址。仅当所有选定的子网仅为子网时,IPv6才支持此选项。

      • Dualstack — 将IPv4和IPv6地址分配给您的端点网络接口。仅当所有选定的子网同时具有IPv4和IPv6地址范围时,才支持此选项。

    6. (可选)若要添加标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

    7. 选择创建端点。初始状态为 pending acceptance

要接受端点连接请求,请按以下过程操作。

  1. 在导航窗格中,选择 Endpoint services(端点服务)。

  2. 选择端点服务。

  3. Endpoint connections(端点连接)选项卡中,选择端点连接。

  4. 要接受连接请求,依次选择 Actions(操作)、Accept endpoint connection request(接受端点连接请求)。提示进行确认时,输入 accept,然后选择 Accept(接受)。

第 4 步:配置路由

按VPC如下方式为服务使用者配置路由表。这将使安全设备能够对发往应用程序服务器的入站流量执行安全检查。

配置路由
  1. 打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Route tables(路由表)。

  3. 为互联网网关选择路由表,并执行以下操作:

    1. 依次选择 Actions(操作)、Edit routes(编辑路由)。

    2. 选择 Add route(添加路由)。在目标中,输入应用程序服务器的子网IPv4CIDR块。对于 “目标”,选择VPC终端节点。

    3. 如果您支持IPv6,请选择添加路由。在目标中,输入应用程序服务器的子网IPv6CIDR块。对于 “目标”,选择VPC终端节点。

    4. 选择 Save changes(保存更改)

  4. 为包含应用程序服务器的子网选择路由表,并执行以下操作:

    1. 依次选择 Actions(操作)、Edit routes(编辑路由)。

    2. 选择 Add route(添加路由)。在 Destination(目标位置)字段,输入 0.0.0.0/0。对于 “目标”,选择VPC终端节点。

    3. 如果您支持IPv6,请选择添加路由。在目标位置字段,输入 ::/0。对于 “目标”,选择VPC终端节点。

    4. 选择 Save changes(保存更改)

  5. 为包含网关负载均衡器端点的子网选择路由表,并执行以下操作:

    1. 依次选择 Actions(操作)、Edit routes(编辑路由)。

    2. 选择 Add route(添加路由)。在 Destination(目标位置)字段,输入 0.0.0.0/0。在 Target(目标)选项中,选择互联网网关。

    3. 如果您支持IPv6,请选择添加路由。在目标位置字段,输入 ::/0。在 Target(目标)选项中,选择互联网网关。

    4. 选择 Save changes(保存更改)。