网关负载均衡器入门 - 弹性负载均衡
概览先决条件步骤 1:注册目标并创建网关Load Balancer步骤 2:创建网关Load Balancer 终端节点服务步骤 3:创建网关Load Balancer 终端节点步骤 4:配置路由
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

网关负载均衡器入门

Gateway Load Balancers 可轻松部署、扩展和管理第三方虚拟设备,例如安全设备。

在本教程中,我们将使用网关Load Balancer 终端节点实现检查系统。

概览

Gateway Load Balancer 终端节点是在服务提供商 VPC 中的虚拟设备与服务使用者 VPC 中的应用程序服务器之间提供私有连接的 VPC 终端节点。网关Load Balancer 部署在与虚拟设备相同的 VPC 中。这些设备注册为网关Load Balancer 目标组。

应用程序服务器在服务使用者 VPC 的一个子网(目标子网)中运行,而网关Load Balancer 终端节点位于同一 VPC 的另一个子网中。通过互联网网关进入服务使用者 VPC 的所有流量首先会路由到网关负载均衡器端点,以便进行检查,然后再路由到目标子网。

同样,离开应用程序服务器(目标子网)的所有流量会路由到网关Load Balancer 端点以进行检查,然后再路由回互联网。下面的网络图是 Gateway Load Balancer 终端节点如何访问终端节点服务的可视表示。

使用网关负载均衡器终端节点访问终端节点服务

后面的编号项,突出显示并解释上一个图像中显示的元素。

从互联网到应用程序的流量(蓝色箭头):

  1. 流量通过互联网网关进入服务使用者 VPC。

  2. 作为入口路由的结果,将流量发送到网关Load Balancer 终端节点。

  3. 通过安全设备,将流量发送到网关负载均衡器以进行检查。

  4. 检查完成后,将流量发送回网关负载均衡器端点。

  5. 将流量发送到应用程序服务器(目标子网)。

从应用程序到互联网的流量(橙色箭头):

  1. 根据应用程序服务器子网上的默认路由,将流量发送到网关Load Balancer 终端节点。

  2. 通过安全设备,将流量发送到网关负载均衡器以进行检查。

  3. 检查完成后,将流量发送回网关负载均衡器端点。

  4. 根据路由表配置,将流量发送到互联网网关。

  5. 流量被路由回互联网。

路由

互联网网关的路由表必须具有将发往应用程序服务器的流量路由到网关Load Balancer 终端节点的条目。要指定网关Load Balancer 终端节点,请使用 VPC 终端节点的 ID。以下示例显示了双栈配置的路由。

目标位置 目标
VPC 的 IPv4 CIDR 的 本地
VPC 的 IP6 CIDR 本地
子网 1 IPv4 CIDR vpc-endpoint-id
子网 1 IPv6 CIDR vpc-endpoint-id

包含应用程序服务器的子网的路由表必须包含将所有流量从应用程序服务器路由到网关Load Balancer 终端节点的条目。

目标位置 目标
VPC 的 IPv4 CIDR 的 本地
VPC 的 IP6 CIDR 本地
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id

包含网关Load Balancer 终端节点的子网的路由表必须将从检查返回的流量路由到最终目的地。对于来自互联网的流量,本地路由可确保到达应用程序服务器。如果流量来自应用程序服务器,则添加将所有流量路由到互联网网关的条目。

目标位置 目标
VPC 的 IPv4 CIDR 的 本地
VPC 的 IP6 CIDR 本地
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id

先决条件

  • 确保服务使用者 VPC 为包含应用程序服务器的每个可用区至少有两个子网。将一个子网用于网关Load Balancer 终端节点,另一个用于应用程序服务器。

  • 网关Load Balancer 目标可以在同一个子网中。

  • 您不能使用从其他账户共享的子网来部署网关Load Balancer。

  • 在服务提供商 VPC 的每个安全设备子网中启动至少一个安全设备实例。这些实例的安全组必须允许端口 6081 上的 UDP 流量。

步骤 1:注册目标并创建网关Load Balancer

使用以下步骤创建目标组,将安全设备实例注册为目标,然后创建负载均衡器和侦听器。

要创建目标组并注册目标

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的 Load Balancing (负载均衡) 下,选择 Target Groups (目标组)。

  3. 选择 Create target group (创建目标组)

  4. 对于 Ch oose a target target ty pe(例),选择 IP 地址指定目标,选择 IP 地址,选择 IP 地址,选择 IP 地址,选择 IP 地址,选择 IP 地址

  5. 对于 Target group name,输入您的目标组的名称。例如,my-targets

  6. 协议必须是GENEVE端口必须是6081。不支持任何其他协议或端口。

  7. 对于 VPC,选择一个 VPC,选择一个 VPC,其中包含要包含在目标组中的实例。

  8. (可选)对于运行 Health 检查,根据需要修改运行状况检查设置。

  9. (可选)展开标签并添加标记。

  10. 选择 Next(下一步)

  11. 添加一个或多个目标,如下所示:

    • 如果目标类型为 Instances (实例),请选择一个或多个实例,输入一个或多个端口,然后选择 Include as pending below (在下面以待注册的形式添加)

    • 如果目标类型为 IP addresses (IP 地址),请选择网络,输入 IP 地址和端口,然后选择 Include as pending below (在下面以待注册的形式添加)

  12. 选择 Create target group

要创建网关Load Balancer

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格中的负载平衡下,选择负载均衡器

  3. 选择 Create Load Balancer (创建负载均衡器)

  4. 网关Load Balan cer 下,选择创建

  5. 对于Load balancer name(负载均衡器名称),输入负载均衡器的名称。例如:my-glb

  6. 对于 IP 地址类型,选择 IPv4 可仅支持 IPv4 地址,选择 Dualstack 可同时支持 IPv4 和 IPv6 地址。

  7. 对于 VPC,选择服务提供商 VPC。

  8. 对于映射,选择您在其中启动安全设备实例的所有可用区域以及相应的公共子网。

  9. 对于 Default ac tion action action action(默认操作),选择 如果您没有目标组,请先创建一个。目标组必须使用 GENEVE 协议。

  10. (可选)展开标签并添加标记。

  11. 查看配置,然后选择创建负载均衡器

步骤 2:创建网关Load Balancer 终端节点服务

按照以下步骤,使用网关负载均衡器创建端点服务。

要创建网关Load Balancer 终端节点服务

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoint services(端点服务)。

  3. 选择 C reate 端点服务并执行以下操作:

    1. Load balancer type(负载均衡器类型)选项中选择 Gateway(网关)。

    2. 对于 Avai lable load balancer(可用负载均衡器

    3. 对于 Re quire accep tance for acceptance for acceptance 否则,会自动接受这些信息。

    4. 对于 Supported IP address types(支持的 IP 地址类型),执行以下任一操作:

      • 选择 IPv4 – 启用端点服务以接受 IPv4 请求。

      • 选择 IPv6 – 启用端点服务以接受 IPv6 请求。

      • 选择 IPv4IPv6 – 启用端点服务以接受 IPv4 和 IPv6 请求。

    5. (可选)若要添加标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

    6. 选择 Create(创建)。记下服务名称;当您创建终端节点时,将需要此信息。

  4. 选择新的终端节点服务,然后选择操作允许委托人。输入服务使用者的 ARN,输入允许创建与您服务连接的终端节点的 ARN。服务使用者可能是用户、IAM 角色或Amazon Web Services 账户。选择 Allow principals(允许委托人)

步骤 3:创建网关Load Balancer 终端节点

按照以下过程创建网关Load Balancer 终端节点。网关Load Balancer 终端节点是区域的。我们建议您在每个区域创建一个网关Load Balancer 端点。有关更多信息,请参阅Amazon PrivateLink指南Amazon PrivateLink中的通过访问虚拟设备

要创建网关负载均衡器终端节点

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoints(端点)。

  3. 选择 C reate 端点并执行以下操作:

    1. Service category(服务类别)选项中,选择 Other endpoint services(其他端点服务)。

    2. 对于服务名称,输入您之前记下的服务名称,然后选择验证服务

    3. 对于 VPC,选择 CC 服务使用者 VPC 的服务使用者

    4. 对于子网,为网关Load Balancer 终端节点选择子网。

    5. 对于 IP address type(IP 地址类型),可从以下选项中进行选择:

      • IPv4 – 将 IPv4 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 地址范围时,才支持此选项。

      • IPv6 – 将 IPv6 地址分配给端点网络接口。仅当所有选定子网均为仅限 IPv6 的子网时,才支持此选项。

      • Dualstack(双堆栈)– 将 IPv4 和 IPv6 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 和 IPv6 地址范围时,才支持此选项。

    6. (可选)若要添加标签,请选择 Add new tag(添加新标签),然后输入标签键和标签值。

    7. 选择 Create endpoint(创建端点)。初始状态为 pending acceptance

要接受终端节点连接请求,请使用以下步骤。

  1. 在导航窗格中,选择 Endpoint services(端点服务)。

  2. 选择端点服务。

  3. Endpoint connections(端点连接)选项卡中,选择端点连接。

  4. 要接受连接请求,依次选择 Actions(操作)、Accept endpoint connection request(接受端点连接请求)。提示进行确认时,输入 accept,然后选择 Accept(接受)。

步骤 4:配置路由

按如下方式配置服务使用者 VPC 的路由表。这使安全设备能够对发往应用程序服务器的入站流量执行安全检查。

要配置路由

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Route tables(路由表)。

  3. 为互联网网关选择路由表,并执行以下操作:

    1. 依次选择 Actions(操作)、Edit routes(编辑路由)。

    2. 选择 Add route(添加路由)。对于 Dept(目的地),输入应用程序服务器子网的 IP4 CIDR CIDR CIDR CIDR CIDR CIDR 在 Target(目标)选项中,选择 VPC 端点。

    3. 如果您支持 IPv6,请选择添加路由。对于 Chept(目的地),输入应用程序服务器的 IP6 CIDR CIDR CIDR CIDR CIDR CIDR 在 Target(目标)选项中,选择 VPC 端点。

    4. 选择 Save changes(保存更改)。

  4. 为包含应用程序服务器的子网选择路由表,并执行以下操作:

    1. 依次选择 Actions(操作)、Edit routes(编辑路由)。

    2. 选择 Add route(添加路由)。在 Destination(目标位置)字段,输入 0.0.0.0/0。在 Target(目标)选项中,选择 VPC 端点。

    3. 如果您支持 IPv6,请选择添加路由。在 Destination(目标位置)字段,输入 ::/0。在 Target(目标)选项中,选择 VPC 端点。

    4. 选择 Save changes(保存更改)。

  5. 为包含网关负载均衡器端点的子网选择路由表,并执行以下操作:

    1. 依次选择 Actions(操作)、Edit routes(编辑路由)。

    2. 选择 Add route(添加路由)。在 Destination(目标位置)字段,输入 0.0.0.0/0。在 Target(目标)选项中,选择互联网网关。

    3. 如果您支持 IPv6,请选择添加路由。在 Destination(目标位置)字段,输入 ::/0。在 Target(目标)选项中,选择互联网网关。

    4. 选择 Save changes(保存更改)。