Integrationen für Ihren Application Load Balancer - Elastic Load Balancing
Amazon Application Recovery Controller (ARC)Amazon CloudFront + AWS WAFAWS Global AcceleratorAWS ConfigAWS WAF

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integrationen für Ihren Application Load Balancer

Sie können Ihre Application Load Balancer Balancer-Architektur optimieren, indem Sie sie in mehrere andere AWS Dienste integrieren, um die Leistung, Sicherheit und Verfügbarkeit Ihrer Anwendung zu verbessern.

Amazon Application Recovery Controller (ARC)

Amazon Application Recovery Controller (ARC) unterstützt Sie bei der Vorbereitung und Durchführung schnellerer Wiederherstellungsvorgänge für Anwendungen, die auf ausgeführt AWS werden. Zonal Shift und Zonal Autoshift sind Funktionen von Amazon Application Recovery Controller (). ARC

Mit Zonal Shift können Sie den Verkehr mit einer einzigen Aktion von einer beeinträchtigten Availability Zone wegverlagern. Auf diese Weise können Sie den Betrieb von anderen fehlerfreien Availability Zones in einer AWS-Region fortsetzen.

Mit Zonal Autoshift autorisieren AWS Sie, den Ressourcenverkehr für eine Anwendung bei Ereignissen in Ihrem Namen aus einer Availability Zone zu verlagern, um die Zeit bis zur Wiederherstellung zu verkürzen. AWS startet eine automatische Verschiebung, wenn die interne Überwachung darauf hindeutet, dass eine Beeinträchtigung der Availability Zone vorliegt, die sich möglicherweise auf Kunden auswirken könnte. Wenn ein Autoshift gestartet wird, AWS beginnt der Anwendungsdatenverkehr zu Ressourcen, die Sie für zonales Autoshift konfiguriert haben, von der Availability Zone weg zu verlagern.

Wenn Sie eine Zonenverschiebung starten, sendet Ihr Load Balancer keinen neuen Datenverkehr für die Ressource mehr an die betroffene Availability Zone. ARCerstellt die Zonenverschiebung sofort. Es kann jedoch eine kurze Zeit dauern, bis bestehende, laufende Verbindungen in der Availability Zone abgeschlossen sind. Dies hängt vom Verhalten des Clients und der Wiederverwendung der Verbindung ab. Abhängig von Ihren DNS Einstellungen und anderen Faktoren können bestehende Verbindungen in nur wenigen Minuten abgeschlossen werden oder länger dauern. Weitere Informationen finden Sie unter Beschränken Sie die Zeit, in der Clients mit Ihren Endpunkten verbunden bleiben, im Amazon Application Recovery Controller (ARC) Developer Guide.

Um Zonal Shift-Funktionen auf Application Load Balancers verwenden zu können, muss das Integrationsattribut ARC Zonal Shift auf Aktiviert gesetzt sein.

Bevor Sie die Amazon Application Recovery Controller (ARC) -Integration aktivieren und mit der Nutzung von Zonal Shift beginnen, sollten Sie Folgendes überprüfen:

  • Sie können eine Zonenverschiebung für einen bestimmten Load Balancer nur für eine Availability Zone starten. Eine Zonenverschiebung lässt sich nicht für mehrere Availability Zones starten.

  • AWS entfernt proaktiv IP-Adressen von zonalen Load Balancer-Diensten, DNS wenn sich mehrere Infrastrukturprobleme auf Dienste auswirken. Prüfen Sie immer die aktuelle Kapazität der Availability Zone, bevor Sie mit einer Zonenverschiebung beginnen. Wenn bei Ihren Load Balancern das zonenübergreifende Load Balancing deaktiviert ist und Sie eine Zonenverschiebung verwenden, um eine zonale Load-Balancer-IP-Adresse zu entfernen, verliert die Availability Zone, die von der Zonenverschiebung betroffen ist, auch die Zielkapazität.

  • Wenn ein Application Load Balancer das Ziel eines Network Load Balancers ist, starten Sie die Zonenverschiebung immer vom Network Load Balancer aus. Wenn Sie eine Zonenverschiebung vom Application Load Balancer aus starten, erkennt der Network Load Balancer die Verschiebung nicht und sendet weiterhin Datenverkehr an den Application Load Balancer.

Weitere Informationen finden Sie unter Bewährte Methoden für Zonenverschiebungen ARC im Amazon Application Recovery Controller (ARC) Developer Guide.

Zonenübergreifende, aktivierte Application Load Balancers

Wenn eine Zonenverschiebung auf einem Application Load Balancer mit aktiviertem zonenübergreifendem Load Balancing gestartet wird, wird der gesamte Datenverkehr zu Zielen in der betroffenen Availability Zone blockiert und zonale IP-Adressen werden entfernt. DNS

Vorteile:

  • Schnellere Wiederherstellung nach Ausfällen in der Availability Zone.

  • Die Möglichkeit, den Datenverkehr in eine fehlerfreie Availability Zone zu verlagern, falls in einer Availability Zone Fehler festgestellt werden.

  • Sie können die Anwendungsintegrität testen, indem Sie Fehler simulieren und identifizieren, um ungeplante Ausfallzeiten zu vermeiden.

Verwaltungsüberschreibung bei zonaler Schicht

Ziele, die zu einem Application Load Balancer gehören, erhalten einen neuen StatusAdministrativeOverride, der unabhängig vom TargetHealth Status ist.

Wenn eine Zonenverschiebung für einen Application Load Balancer gestartet wird, gelten alle Ziele innerhalb der Zone, aus der verschoben wird, als vom Administrator überschrieben. Der Application Load Balancer beendet die Weiterleitung von neuem Datenverkehr an die vom Administrator überschriebenen Ziele, bestehende Verbindungen bleiben jedoch intakt, bis sie organisch geschlossen werden.

Die möglichen Zustände sind: AdministrativeOverride

unbekannt

Der Status kann aufgrund eines internen Fehlers nicht weitergegeben werden

no_override

Auf dem Ziel ist derzeit kein Override aktiv

zonal_shift_active

Zonal Shift ist in der Ziel-Availability Zone aktiv

Amazon CloudFront + AWS WAF

Amazon CloudFront ist ein Webservice, der dazu beiträgt, die Leistung, Verfügbarkeit und Sicherheit Ihrer Anwendungen zu verbessern, die Sie verwenden AWS. CloudFront fungiert als verteilter, zentraler Zugangspunkt für Ihre Webanwendungen, die Application Load Balancers verwenden. Es erweitert die globale Reichweite Ihres Application Load Balancers und ermöglicht es ihm, Benutzer effizient von nahegelegenen Edge-Standorten aus zu bedienen, die Inhaltsbereitstellung zu optimieren und die Latenz für Benutzer weltweit zu reduzieren. Das automatische Zwischenspeichern von Inhalten an diesen Edge-Standorten reduziert die Belastung Ihres Application Load Balancer erheblich und verbessert so dessen Leistung und Skalierbarkeit.

Die in der Elastic Load Balancing Balancing-Konsole verfügbare Ein-Klick-Integration erstellt eine CloudFront Distribution mit den empfohlenen AWS WAF Sicherheitsvorkehrungen und ordnet sie Ihrem Application Load Balancer zu. Die AWS WAF Schutzmaßnahmen blockieren vor gängigen Web-Exploits, bevor sie Ihren Load Balancer erreichen. Sie können auf die CloudFront Distribution und das entsprechende Sicherheits-Dashboard über den Tab Integrationen des Load Balancers in der Konsole zugreifen. Weitere Informationen finden Sie unter Sicherheitsvorkehrungen im AWS WAF Sicherheits-Dashboard verwalten im CloudFront Amazon CloudFront Developer Guide und Introducing CloudFront Security Dashboard, a Unified CDN and Security Experience auf aws.amazon.com/blogs.

Aus Sicherheitsgründen sollten Sie die Sicherheitsgruppen Ihres mit dem Internet verbundenen Application Load Balancers so konfigurieren, dass eingehender Datenverkehr nur aus der AWS verwalteten Präfixliste für zugelassen wird, und alle anderen Regeln für eingehenden Datenverkehr entfernen. CloudFront Weitere Informationen finden Sie unter Verwenden der CloudFront verwalteten Präfixliste, Konfigurieren, CloudFront um Anfragen einen benutzerdefinierten HTTP Header hinzuzufügen und Einen Application Load Balancer so konfigurieren, dass er nur Anfragen weiterleitet, die einen bestimmten Header enthalten im Amazon CloudFront Developer Guide >.

Anmerkung

CloudFront unterstützt nur ACM Zertifikate in der Region USA Ost (Nord-Virginia) us-east-1. Wenn Ihr Application Load Balancer über einen HTTPS Listener verfügt, der mit einem ACM Zertifikat in einer anderen Region als us-east-1 konfiguriert ist, müssen Sie entweder die CloudFront Ursprungsverbindung von HTTPS zu HTTP ändern oder ein ACM Zertifikat in der Region USA Ost (Nord-Virginia) bereitstellen und es an Ihre Distribution anhängen. CloudFront

AWS Global Accelerator

Um die Verfügbarkeit, Leistung und Sicherheit von Anwendungen zu optimieren, erstellen Sie einen Beschleuniger für Ihren Load Balancer. Der Accelerator leitet den Datenverkehr über das AWS globale Netzwerk an statische IP-Adressen weiter, die als feste Endpunkte in der Region dienen, die dem Client am nächsten ist. AWS Global Accelerator ist durch Shield Standard geschützt, wodurch Anwendungsausfälle und Latenzzeiten aufgrund von DDoS Angriffen minimiert werden.

Weitere Informationen finden Sie im AWS Global Accelerator Entwicklerhandbuch unter Hinzufügen eines Accelerators bei der Erstellung eines Load Balancers.

AWS Config

Um die Überwachung und Einhaltung von Vorschriften für Ihren Load Balancer zu optimieren, richten Sie ihn ein. AWS Config AWS Config bietet eine detaillierte Ansicht der Konfiguration der AWS Ressourcen in Ihrem AWS Konto. Dazu gehört auch, wie die Ressourcen miteinander in Beziehung stehen und wie sie in der Vergangenheit konfiguriert wurden, sodass Sie sehen können, wie sich die Konfigurationen und Beziehungen im Laufe der Zeit ändern. AWS Config optimiert Audits, Einhaltung von Vorschriften und Problembehebung.

Weitere Informationen finden Sie unter Was ist AWS Config? im AWS Config Entwicklerhandbuch.

AWS WAF

Sie können es AWS WAF zusammen mit Ihrem Application Load Balancer verwenden, um Anfragen auf der Grundlage der Regeln in einer Web-Zugriffskontrollliste (WebACL) zuzulassen oder zu blockieren.

Wenn der Load Balancer keine Antwort von erhalten kann AWS WAF, gibt er standardmäßig einen HTTP 500-Fehler zurück und leitet die Anfrage nicht weiter. Wenn Sie möchten, dass Ihr Load Balancer Anfragen an Ziele weiterleitet, auch wenn er keinen Kontakt herstellen kann AWS WAF, können Sie AWS WAF Fail Open aktivieren.

Vordefiniertes Web ACLs

Wenn Sie die AWS WAF Integration aktivieren, können Sie wählen, ob automatisch ein neues Web ACL mit vordefinierten Regeln erstellt werden soll. Das vordefinierte Web ACL umfasst drei AWS verwaltete Regeln, die Schutz vor den häufigsten Sicherheitsbedrohungen bieten.

  • AWSManagedRulesAmazonIpReputationList‐ Die Regelgruppe der Amazon IP-Reputationsliste blockiert IP-Adressen, die typischerweise mit Bots oder anderen Bedrohungen in Verbindung stehen. Weitere Informationen finden Sie unter verwaltete Regelgruppe der Amazon IP-Reputationsliste im AWS WAF Entwicklerhandbuch.

  • AWSManagedRulesCommonRuleSet‐ Die Regelgruppe Core Rule Set (CRS) bietet Schutz vor der Ausnutzung einer Vielzahl von Sicherheitslücken, darunter einige der risikoreichen und häufig auftretenden Sicherheitslücken, die in OWASP Publikationen wie OWASPTop 10 beschrieben werden. Weitere Informationen finden Sie im AWS WAF Entwicklerhandbuch unter Regelgruppe mit dem Kernregelsatz (CRS).

  • AWSManagedRulesKnownBadInputsRuleSet‐ Die Regelgruppe „Bekannte fehlerhafte Eingaben“ blockiert Anforderungsmuster, die bekanntermaßen ungültig sind und im Zusammenhang mit der Ausnutzung oder Entdeckung von Sicherheitslücken stehen. Weitere Informationen finden Sie unter Verwaltete Regelgruppe „Bekannte fehlerhafte Eingaben“ im AWS WAF Entwicklerhandbuch.

Weitere Informationen finden Sie unter Verwenden des ACLs Webs AWS WAF im AWS WAF Entwicklerhandbuch.