网关负载均衡器入门 - Elastic Load Balancing
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

网关负载均衡器入门

网关负载均衡器可轻松部署、扩展和管理第三方虚拟设备(如安全设备)。

在本教程中,我们将使用网关 Load Balancer 和网关 Load Balancer 端点来实施检查系统。

Overview

网关 Load Balancer 终端节点是在服务提供商 VPC 中的虚拟设备与服务使用者 VPC 中的应用程序服务器之间提供私有连接的 VPC 终端节点。网关 Load Balancer 部署在与虚拟设备相同的 VPC 中。这些设备已注册为网关 Load Balancer 的目标组。

应用程序服务器在服务使用者 VPC 中的一个子网(目标子网)中运行,而网关 Load Balancer 终端节点位于同一 VPC 的另一个子网中。通过互联网网关进入服务使用者 VPC 的所有流量首先会路由到网关 Load Balancer 终端节点,以便进行检查,然后路由到目标子网。

同样,离开应用程序服务器(目标子网)的所有流量也会路由到网关 Load Balancer 终端节点,以便在网关负载均衡器终端节点进行检查。下面的网络图是如何使用网关 Load Balancer 终端节点访问端点服务的可视表示。


    使用网关负载均衡器终端节点访问终端节点服务

上图中显示的元素后面、突出显示和解释的编号项。

从互联网到应用程序的流量(蓝色箭头):

  1. 流量通过互联网网关进入服务使用者 VPC。

  2. 流入路由的结果将流量发送到网关 Load Balancer 终端节点。

  3. 流量将发送到网关 Load Balancer,以便通过安全设备进行检查。

  4. 在检查后,流量会发送回网关 Load Balancer 终端节点。

  5. 流量被发送到应用程序服务器(目标子网)。

从应用程序到互联网的流量(橙色箭头):

  1. 作为应用程序服务器子网上配置的默认路由的结果,流量将被发送到网关 Load Balancer 器终端节点。

  2. 流量将发送到网关 Load Balancer,以便通过安全设备进行检查。

  3. 在检查后,流量会发送回网关 Load Balancer 终端节点。

  4. 根据路由表配置将流量发送到 Internet 网关。

  5. 流量被路由回互联网。

Routing

Internet 网关的路由表必须具有一个条目,该条目将目的地为应用程序服务器的流量路由到网关 Load Balancer 终端节点。要指定网关 Load Balancer 终端节点,请使用 VPC 终端节点的 ID。

目的地 目标
10.0.0.0/16 本地
10.0.1.0/24 vpc-endpoint-id

具有应用程序服务器的子网的路由表必须具有一个条目,该条目将来自应用程序服务器的所有流量路由到网关 Load Balancer 终端节点。

目的地 目标
10.0.0.0/16 本地
0.0.0.0/0 vpc-endpoint-id

具有网关 Load Balancer 终端节点的子网的路由表必须将从检查返回的流量路由到最终目的地。对于来自互联网的流量,本地路由可以确保到达应用程序服务器。对于来自应用程序服务器的流量,添加一个条目,将所有流量路由到 Internet 网关。

目的地 目标
10.0.0.0/16 本地
0.0.0.0/0 internet-gateway-id

Prerequisites

  • 确保服务使用者 VPC 对于包含应用程序服务器的每个可用区至少有两个子网。一个子网用于网关 Load Balancer 终端节点,另一个子网用于应用程序服务器。

  • 网关 Load Balancer 和目标可以位于同一子网中。

  • 您不能使用从其他账户共享的子网来部署网关 Load Balancer。

  • 在服务提供商 VPC 中的每个安全设备子网中至少启动一个安全设备实例。这些实例的安全组必须允许端口 6081 上的 UDP 流量。

第 1 步:注册目标并创建网关 Load Balancer

使用以下过程创建目标组,将安全设备实例注册为目标,然后创建负载均衡器和侦听器。

要创建目标组并注册目标

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的 Load Balancing(负载均衡)下,选择 Target Groups(目标组)。

  3. 适用于选择目标类型中,选择实例通过实例 ID 指定目标IP 地址以通过 IP 地址指定目标。

  4. 对于 Target group name,输入您的目标组的名称。例如:my-targets

  5. 协议必须是GENEVE, 和端口必须是6081。不支持协议和端口的其他值。

  6. 适用于VPC中,选择具有您要包含在目标组中的实例的虚拟私有云 (VPC)。

  7. 适用于运行状况检查(可选)中,根据需要修改运行状况检查设置。

  8. Expand标签并添加标签(可选)。

  9. 选择 Next (下一步)

  10. 添加一个或多个目标,如下所示:

    • 如果目标类型为实例,请选择一个或多个实例,输入一个或多个端口,然后选择在下面以待注册的形式添加

    • 如果目标类型为 IP 地址,请选择网络,输入 IP 地址和端口,然后选择在下面以待注册的形式添加

  11. 选择 Create target group

要创建网关 Load Balancer

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格中的负载平衡下,选择负载均衡器

  3. 选择 Create Load Balancer

  4. Under 网关 Load Balancer中,选择Create

  5. 对于Load balancer name(负载均衡器名称),输入负载均衡器的名称。例如:my-glb

  6. 适用于IP 地址类型中,您必须选择IPv4,因为您的客户端只能使用 IPv4 地址与负载均衡器进行通信。

  7. 适用于VPC下,选择服务提供商 VPC。只有具有互联网网关的 VPC 可供选择。

  8. 适用于映像中,选择启动安全设备实例的所有可用区以及相应的公有子网。

  9. 适用于默认操作中,选择要将流量转发到的目标组。如果您没有默认目标组,请先创建目标组。只有具有 GenEVE 协议的目标组才可用于网关 Load Balancer。

  10. Expand标签并添加标签(可选)。

  11. 查看配置,然后选择 Create load balancer(创建负载均衡器)。

第 2 步:创建网关负载均衡器终端节点

使用以下步骤创建网关 Load Balancer 终端节点。网关 Load Balancer 终端节点是分区的。我们建议您为每个区域创建一个网关 Load Balancer 终端节点。有关更多信息,请参阅 。网关 Load Balancer 终端节点 ( Amazon PrivateLink )

要创建网关负载均衡器终端节点

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择终端节点服务

  3. 选择创建终端节点服务并执行以下操作:

    1. 适用于关联负载均衡器中,选择您的网关 Load Balancer。

    2. 适用于要求端点接受中,选择需要接受以手动接受对您的服务的连接请求。否则,终端节点连接会被自动接受。

    3. 要添加标签(可选),请选择添加标签,然后指定标签的键和值。

    4. 选择 Create service。选择服务 ID。将服务名称保存在详细信息] 选项卡;您在创建终端节点时将需要它。

    5. 选择 ActionsAdd principals to whitelist。输入允许为您的服务创建终端节点的服务使用者的 ARN。服务使用者可以是 IAM 用户、IAM 角色或Amazonaccount.

  4. 在导航窗格中,选择终端节点

  5. 选择创建终端节点并执行以下操作:

    1. 对于 Service category,选择 Find service by name

    2. 适用于Service name (服务名称)中,输入您之前保存的服务名称,然后选择Verify。如果找到名称,请继续下一步。否则,请确保您使用了正确的服务名称。

    3. 适用于VPC中,选择服务使用者 VPC。

    4. 适用于Subnets中,为网关 Load Balancer 终端节点选择子网。

    5. (可选)要添加标签,请选择 Add tag(添加标签),然后为标签指定键和值。

    6. 选择Create endpoint。初始状态为 pending acceptance

第 3 步:配置路由

为服务使用者 VPC 配置路由表。这样,安全设备就可以对发往应用程序服务器的入站流量执行安全检查。

配置路由

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Route Tables

  3. 为 Internet 网关选择路由表,然后执行以下操作:

    1. 依次选择 Actions (操作)Edit routes (编辑路由)

    2. 选择 Add route (添加路由)。适用于目的地中,输入应用程序服务器子网的 CIDR 块 (例如 10.0.1.0/24)。适用于目标中,选择 VPC 终端节点。

    3. 选择 Save routes (保存路由)

  4. 为具有应用程序服务器的子网选择路由表,然后执行以下操作:

    1. 依次选择 Actions (操作)Edit routes (编辑路由)

    2. 选择 Add route (添加路由)。对于 Destination,输入 0.0.0.0/0。适用于目标中,选择 VPC 终端节点。

    3. 选择 Save routes (保存路由)

  5. 为具有网关 Load Balancer 终端节点的子网选择路由表,然后执行以下操作:

    1. 依次选择 Actions (操作)Edit routes (编辑路由)

    2. 选择 Add route (添加路由)。对于 Destination,输入 0.0.0.0/0。适用于目标中,选择互联网网关。

    3. 选择 Save routes (保存路由)