网关负载均衡器入门 - Elastic Load Balancing
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

网关负载均衡器入门

借助网关负载均衡器可以轻松部署、扩展和管理第三方虚拟设备,例如安全设备。

在本教程中,我们将使用一个网关负载均衡器和一个网关负载均衡器端点,实现一个检验系统。

概述

网关负载均衡器端点是在服务提供者 VPC 中的虚拟设备与服务使用者 VPC 中的应用程序服务器之间提供私有连接的 VPC 端点。网关负载均衡器将部署在与虚拟设备相同的 VPC 中。这些设备将会注册到网关负载均衡器的目标组。

应用程序服务器与服务使用者 VPC 在同一个子网(目的地子网)中运行,而网关负载均衡器端点位于另一个子网中。通过互联网网关进入服务使用者 VPC 的所有流量首先会路由到网关负载均衡器端点,然后再路由到目标子网。

同样,离开应用程序服务器(目的地子网)的所有流量会首先路由到网关负载均衡器端点,然后再路由回互联网。以下网络图形象地演示了如何使用网关负载均衡器访问端点服务。


    使用网关负载均衡器终端节点访问终端节点服务

随后的编号项突出显示并解释了上面网络图中显示的元素。

从互联网到应用程序的流量(蓝色箭头):
  1. 流量通过互联网网关进入服务使用者 VPC。

  2. 根据入口路由将流量发送到网关负载均衡器端点。

  3. 将流量发送到网关负载均衡器,然后由后者将流量分配到其中的一个安全设备。

  4. 安全设备完成检查后,将流量发送回网关负载均衡器端点。

  5. 将流量发送到应用程序服务器(目的地子网)。

从应用程序到互联网的流量(橙色箭头):
  1. 根据应用程序服务器子网上配置的默认路由表,将流量发送到网关负载均衡器端点。

  2. 将流量发送到网关负载均衡器,然后由后者将流量分配到其中的一个安全设备。

  3. 安全设备完成检查后,将流量发送回网关负载均衡器端点。

  4. 根据路由表配置,将流量发送到互联网网关。

  5. 流量被路由回互联网。

路由

互联网网关的路由表必须具有将发往应用程序服务器的流量路由到网关负载均衡器端点的条目。要指定网关负载均衡器端点,请使用 VPC 端点的 ID。以下示例显示了 dualstack 配置的路由。

目标位置 目标
VPC IPv4 CIDR 本地
VPC IPv6 CIDR 本地
子网 1 IPv4 CIDR vpc-endpoint-id
子网 1 IPv6 CIDR vpc-endpoint-id

应用程序服务器所在子网的路由表必须具有将来自应用程序服务器的所有流量路由到网关负载均衡器端点的条目。

目标位置 目标
VPC IPv4 CIDR 本地
VPC IPv6 CIDR 本地
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id

网关负载均衡器端点所在子网的路由表必须将从检查返回的流量路由到最终目的地。对于来自互联网的流量,本地路由将确保其会到达应用程序服务器。对于来自应用程序服务器的流量,则添加会将所有流量路由到互联网网关的条目。

目标位置 目标
VPC IPv4 CIDR 本地
VPC IPv6 CIDR 本地
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id

先决条件

  • 确保服务使用者 VPC 在包含应用程序服务器的每个可用区中至少有两个子网。其中一个子网用于网关负载均衡器端点,另一个用于应用程序服务器。

  • 网关负载均衡器和目标可以位于同一子网中。

  • 您不能使用其他账户共享的子网来部署网关负载均衡器。

  • 在服务提供者 VPC 的每个安全设备子网中启动至少一个安全设备实例。这些实例的安全组必须允许端口 6081 上的 UDP 流量。

第 1 步:创建网关负载均衡器

按照以下过程创建负载均衡器、侦听器和目标组。

创建负载均衡器、侦听器和目标组
  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格中的负载平衡下,选择负载均衡器

  3. 选择创建负载均衡器

  4. 网关负载均衡器下,选择创建

  5. 基本配置

    1. 对于Load balancer name(负载均衡器名称),输入负载均衡器的名称。

    2. 对于 IP 地址类型,选择 IPv4 以仅支持 IPv4 地址,或选择 Dualstack 以同时支持 IPv4 和 IPv6 地址。

  6. 网络映射

    1. 对于 VPC,请选择服务提供者 VPC。

    2. 对于映射,请选择您启动了安全设备实例的所有可用区,然后为每个可用区选择一个子网。

  7. IP 侦听器路由

    1. 对于默认操作,选择一个现有的目标组以用来接收流量。该目标组必须使用 GENEVE 协议。

      如果您没有目标组,请选择创建目标组,这时将在浏览器中打开一个新选项卡。选择一个目标组,输入目标组的名称,并保持选择 GENEVE 协议。选择您的安全设备实例所在的 VPC。根据需要修改运行状况检查设置,并添加需要的任何标签。选择下一步。您可以立即向目标组注册安全设备实例,也可以在完成此过程之后再注册。选择创建目标组,然后返回上一个浏览器选项卡。

    2. (可选)展开侦听器标签并添加所需的标签。

  8. (可选)展开负载均衡器标签并添加所需的标签。

  9. 选择创建负载均衡器

第 2 步:创建网关负载均衡器端点服务

按照以下过程创建将使用您的网关负载均衡器的端点服务。

创建网关负载均衡器端点服务
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择创建端点服务,然后执行以下操作:

    1. Load balancer type(负载均衡器类型)选项中选择 Gateway(网关)。

    2. 对于 Available load balancers(可用负载均衡器),选择您的网关负载均衡器。

    3. 对于需要接受以使用端点,选择需要接受以手动接受对端点服务的连接请求。否则这些请求将被自动接受。

    4. 对于 Supported IP address types(支持的 IP 地址类型),执行以下任一操作:

      • 选择 IPv4 – 启用端点服务以接受 IPv4 请求。

      • 选择 IPv6 – 启用端点服务以接受 IPv6 请求。

      • 选择 IPv4IPv6 – 启用端点服务以接受 IPv4 和 IPv6 请求。

    5. (可选)若要添加标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

    6. 选择 Create(创建)。记下服务名称;您在创建端点时将需要此名称。

  4. 选择新的端点服务,然后选择操作允许主体。输入被允许为您的服务创建端点的服务使用者 ARN。服务使用者可以是用户、IAM 角色或 Amazon Web Services 账户。选择 Allow principals(允许委托人)

第 3 步:创建网关负载均衡器端点

按照以下过程,创建可连接到您的网关负载均衡器端点服务的网关负载均衡器端点。网关负载均衡器端点是基于可用区的。我们建议您在每个可用区中创建一个网关负载均衡器端点。有关更多信息,请参阅《Amazon PrivateLink 指南》中的 通过 Amazon PrivateLink 访问虚拟设备

要创建网关负载均衡器终端节点
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoints(端点)。

  3. 选择创建端点,然后执行以下操作:

    1. Service category(服务类别)选项中,选择 Other endpoint services(其他端点服务)。

    2. 对于服务名称,输入您之前记下的服务名称,然后选择验证服务

    3. 对于 VPC,请选择服务使用者 VPC。

    4. 对于子网,选择网关负载均衡器端点的子网。

    5. 对于 IP address type(IP 地址类型),可从以下选项中进行选择:

      • IPv4 – 将 IPv4 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 地址范围时,才支持此选项。

      • IPv6 – 将 IPv6 地址分配给端点网络接口。仅当所有选定子网均为仅限 IPv6 的子网时,才支持此选项。

      • Dualstack(双堆栈)– 将 IPv4 和 IPv6 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 和 IPv6 地址范围时,才支持此选项。

    6. (可选)若要添加标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

    7. 选择 Create endpoint(创建端点)。初始状态为 pending acceptance

要接受端点连接请求,请按以下过程操作。

  1. 在导航窗格中,选择 Endpoint services(端点服务)。

  2. 选择端点服务。

  3. Endpoint connections(端点连接)选项卡中,选择端点连接。

  4. 要接受连接请求,依次选择 Actions(操作)、Accept endpoint connection request(接受端点连接请求)。提示进行确认时,输入 accept,然后选择 Accept(接受)。

第 4 步:配置路由

按如下说明为服务使用者 VPC 配置路由表。这将使安全设备能够对发往应用程序服务器的入站流量执行安全检查。

配置路由
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Route tables(路由表)。

  3. 为互联网网关选择路由表,并执行以下操作:

    1. 依次选择 Actions(操作)、Edit routes(编辑路由)。

    2. 选择 Add route(添加路由)。对于 Destination(目标),输入应用程序服务器子网的 IPv4 CIDR 块。在 Target(目标)选项中,选择 VPC 端点。

    3. 如果您支持 IPv6,请选择 Add route(添加路由)。对于 Destination(目标),输入应用程序服务器子网的 IPv6 CIDR 块。在 Target(目标)选项中,选择 VPC 端点。

    4. 选择 Save changes(保存更改)。

  4. 为包含应用程序服务器的子网选择路由表,并执行以下操作:

    1. 依次选择 Actions(操作)、Edit routes(编辑路由)。

    2. 选择 Add route(添加路由)。在 Destination(目标位置)字段,输入 0.0.0.0/0。在 Target(目标)选项中,选择 VPC 端点。

    3. 如果您支持 IPv6,请选择 Add route(添加路由)。在 Destination(目标位置)字段,输入 ::/0。在 Target(目标)选项中,选择 VPC 端点。

    4. 选择 Save changes(保存更改)。

  5. 为包含网关负载均衡器端点的子网选择路由表,并执行以下操作:

    1. 依次选择 Actions(操作)、Edit routes(编辑路由)。

    2. 选择 Add route(添加路由)。在 Destination(目标位置)字段,输入 0.0.0.0/0。在 Target(目标)选项中,选择互联网网关。

    3. 如果您支持 IPv6,请选择 Add route(添加路由)。在 Destination(目标位置)字段,输入 ::/0。在 Target(目标)选项中,选择互联网网关。

    4. 选择 Save changes(保存更改)。