Cómo empezar a utilizar los balanceadores de carga de Gateway mediante el AWS CLI - Elastic Load Balancing
Información generalRequisitos previosPaso 1: Crear un equilibrador de carga de puerta de enlace y registrar los objetivosPaso 2: Creación de un punto de conexión del equilibrador de carga de puerta de enlace Paso 3: Configuración del enrutamiento

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo empezar a utilizar los balanceadores de carga de Gateway mediante el AWS CLI

Los equilibradores de carga de puerta de enlace permiten implementar, escalar y administrar dispositivos virtuales de terceros, como dispositivos de seguridad.

En este tutorial, implementaremos un sistema de inspección con un equilibrador de carga y un punto de conexión del equilibrador de carga de puerta de enlace.

Información general

Un punto final de Gateway Load Balancer es un VPC punto final que proporciona conectividad privada entre los dispositivos virtuales del proveedor VPC de servicios y los servidores de aplicaciones del consumidor de servicios. VPC El Load Balancer de Gateway se implementa de la VPC misma manera que los dispositivos virtuales. Registre los dispositivos virtuales en un grupo de destino para el equilibrador de carga de puerta de enlace.

Los servidores de aplicaciones se ejecutan en una subred (subred de destino) del consumidor del servicioVPC, mientras que el punto final del Gateway Load Balancer se encuentra en otra subred de la misma. VPC Todo el tráfico que ingresa al consumidor del servicio VPC a través de la puerta de enlace de Internet se enruta primero al punto final del Gateway Load Balancer y, a continuación, a la subred de destino.

Del mismo modo, todo el tráfico que sale de los servidores de aplicaciones (subred de destino) se dirige al punto de conexión del equilibrador de carga de puerta de enlace antes de que se dirija nuevamente a Internet. El siguiente diagrama de red es una representación visual de cómo se utiliza un punto de conexión de equilibrador de carga de puerta de enlace para acceder a un servicio de punto de conexión.

Uso de un punto de conexión del equilibrador de carga de puerta de enlace para acceder a un servicio de punto de conexión

Los elementos numerados que siguen, destacan y explican los elementos que se muestran en la imagen anterior.

Tráfico de Internet a las aplicaciones (flechas azules):

  1. El tráfico ingresa al consumidor del servicio a VPC través de la pasarela de Internet.

  2. El tráfico se envía al punto de conexión del equilibrador de carga de la puerta de enlace , como resultado del enrutamiento de entrada.

  3. El tráfico se envía al Equilibrador de carga de la puerta de enlace , que distribuye el tráfico a uno de los dispositivos de seguridad.

  4. El tráfico se envía nuevamente al punto de conexión del equilibrador de carga de la puerta de enlace después de la inspección.

  5. El tráfico se envía a los servidores de aplicaciones (subred de destino).

Tráfico de los servidores de aplicaciones a Internet (flechas naranjas):

  1. El tráfico se envía al punto de conexión del equilibrador de carga de la puerta de enlace como resultado de la ruta predeterminada configurada en la subred del servidor de aplicaciones.

  2. El tráfico se envía al Equilibrador de carga de la puerta de enlace , que distribuye el tráfico a uno de los dispositivos de seguridad.

  3. El tráfico se envía nuevamente al punto de conexión del equilibrador de carga de la puerta de enlace después de la inspección.

  4. El tráfico se envía a la puerta de enlace de Internet en función de la configuración de la tabla de enrutamiento.

  5. El tráfico se dirige nuevamente a Internet.

Enrutamiento

La tabla de enrutamiento para la puerta de enlace de Internet debe tener una entrada que envíe el tráfico destinado a los servidores de aplicaciones al punto de conexión del equilibrador de carga de la puerta de enlace. Para especificar el punto final del Gateway Load Balancer, utilice el ID del VPC punto final. En el siguiente ejemplo se muestran las rutas para la configuración de doble pila.

Destino Objetivo
VPC IPv4 CIDR Local
VPC IPv6 CIDR Local
Subnet 1 IPv4 CIDR vpc-endpoint-id
Subnet 1 IPv6 CIDR vpc-endpoint-id

La tabla de enrutamiento para la subred con los servidores de aplicaciones debe tener entradas que envíen todo el tráfico desde los servidores de aplicaciones al punto de conexión del equilibrador de carga de la puerta de enlace.

Destino Objetivo
VPC IPv4 CIDR Local
VPC IPv6 CIDR Local
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id

La tabla de enrutamiento para la subred con el punto de conexión del equilibrador de carga de la puerta de enlace debe enviar el tráfico que regresa de la inspección hasta su destino final. En el caso del tráfico que proviene de Internet, la ruta local se asegura de que llegue a los servidores de aplicaciones. Para el tráfico que proviene de los servidores de aplicaciones, agregue una ruta que dirija todo el tráfico a la puerta de enlace de Internet.

Destino Objetivo
VPC IPv4 CIDR Local
VPC IPv6 CIDR Local
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id

Requisitos previos

  • Instale la versión actual AWS CLI o actualícela a ella AWS CLI si utiliza una versión que no sea compatible con los balanceadores de carga de Gateway. Para obtener más información, consulte Installing the AWS Command Line Interface en la Guía del usuario de AWS Command Line Interface .

  • Asegúrese de que el consumidor del servicio VPC tenga al menos dos subredes para cada zona de disponibilidad que contenga servidores de aplicaciones. Una subred es para los servidores de aplicaciones y la otra es para el punto de conexión del equilibrador de carga de puerta de enlace.

  • Asegúrese de que el proveedor de servicios VPC tenga al menos dos subredes para cada zona de disponibilidad que contenga instancias de dispositivos de seguridad. Una subred es para el equilibrador de carga de la puerta de enlace y la otra es para las instancias.

  • Inicie al menos una instancia de dispositivo de seguridad en cada subred del dispositivo de seguridad del proveedor de servicios. VPC Los grupos de seguridad de estas instancias deben permitir el UDP tráfico en el puerto 6081.

Paso 1: Crear un equilibrador de carga de puerta de enlace y registrar los objetivos

Utilice el siguiente procedimiento para crear el equilibrador de carga, el oyente y los grupos de destino, y para registrar las instancias del dispositivo de seguridad como destinos.

Para crear un equilibrador de carga de puerta de enlace y registrar objetivos

  1. Usa el create-load-balancercomando para crear un balanceador de carga de este tipo. gateway Puede especificar una subred para cada zona de disponibilidad en la que ha lanzado instancias de dispositivos de seguridad.

    aws elbv2 create-load-balancer --name my-load-balancer --type gateway --subnets provider-subnet-id

    El valor predeterminado es admitir solo IPv4 direcciones. Para admitir ambas IPv4 IPv6 direcciones, añada la --ip-address-type dualstack opción.

    La salida incluye el nombre del recurso de Amazon (ARN) del balanceador de cargas, con el formato que se muestra en el siguiente ejemplo.

    arn:aws:elasticloadbalancing:us-east-2:123456789012:loadbalancer/gwy/my-load-balancer/1234567890123456

  2. Use el create-target-groupcomando para crear un grupo objetivo, especificando el proveedor de servicios VPC en el que lanzó las instancias.

    aws elbv2 create-target-group --name my-targets --protocol GENEVE --port 6081 --vpc-id provider-vpc-id

    La salida incluye la ARN del grupo objetivo, con el siguiente formato.

    arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/0123456789012345

  3. Utilice el comando register-targets para registrar las instancias con el grupo de destino.

    aws elbv2 register-targets --target-group-arn targetgroup-arn --targets Id=i-1234567890abcdef0 Id=i-0abcdef1234567890

  4. Utilice el comando create-oyente para crear un oyente del equilibrador de carga con una regla predeterminada que reenvíe las solicitudes al grupo de destino:

    aws elbv2 create-listener --load-balancer-arn loadbalancer-arn --default-actions Type=forward,TargetGroupArn=targetgroup-arn

    La salida contiene la ARN del oyente, con el siguiente formato.

    arn:aws:elasticloadbalancing:us-east-2:123456789012:listener/gwy/my-load-balancer/1234567890123456/abc1234567890123

  5. (Opcional) Puede comprobar el estado de los objetivos registrados para su grupo objetivo mediante el siguiente describe-target-healthcomando.

    aws elbv2 describe-target-health --target-group-arn targetgroup-arn

Paso 2: Creación de un punto de conexión del equilibrador de carga de puerta de enlace

Utilice el siguiente procedimiento para crear un servicio de punto de conexión con un equilibrador de carga de puerta de enlace. Puntos de conexión del equilibrador de carga de la puerta de enlace Le recomendamos que cree un punto de conexión de equilibrador de carga de puerta de enlace por zona. Para obtener más información, consulte Acceder a los dispositivos virtuales a través de. AWS PrivateLink

Para crear un punto de conexión del equilibrador de carga de puerta de enlace

  1. Use el comando create-vpc-endpoint-service-configuration para crear una configuración de servicio de punto final con su Gateway Load Balancer.

    aws ec2 create-vpc-endpoint-service-configuration --gateway-load-balancer-arns loadbalancer-arn --no-acceptance-required

    Para admitir ambas IPv6 direccionesIPv4, añada la --supported-ip-address-types ipv4 ipv6 opción.

    El resultado contiene el identificador del servicio (por ejemplo, vpce-svc-12345678901234567) y el nombre del servicio (por ejemplo, com.amazonaws.vpce.us-east-2.vpce-svc-12345678901234567).

  2. Use el comando modify-vpc-endpoint-service-permissions para permitir a los consumidores del servicio crear un punto final para su servicio. Un consumidor de servicios puede ser un usuario, un IAM rol o Cuenta de AWS. En el siguiente ejemplo, se agrega el permiso para lo especificado Cuenta de AWS.

    aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-12345678901234567 --add-allowed-principals arn:aws:iam::123456789012:root

  3. Use el create-vpc-endpointcomando para crear el punto final de Gateway Load Balancer para su servicio.

    aws ec2 create-vpc-endpoint --vpc-endpoint-type GatewayLoadBalancer --service-name com.amazonaws.vpce.us-east-2.vpce-svc-12345678901234567 --vpc-id consumer-vpc-id --subnet-ids consumer-subnet-id

    Para admitir ambas IPv4 IPv6 direcciones, añada la --ip-address-type dualstack opción.

    El resultado contiene el ID del punto de conexión de equilibrador de carga de puerta de enlace (por ejemplo, vpce-01234567890abcdef).

Paso 3: Configuración del enrutamiento

Configure las tablas de rutas para el consumidor de servicios de la VPC siguiente manera. Esto permite que los dispositivos de seguridad realicen una inspección de seguridad del tráfico entrante con destino a los servidores de aplicaciones.

Para configurar el enrutamiento

  1. Use el comando create-route para agregar entradas a la tabla de enrutamiento de la puerta de enlace de Internet que enruta el tráfico destinado a los servidores de aplicaciones al punto de conexión del equilibrador de carga de la puerta de enlace.

    aws ec2 create-route --route-table-id gateway-rtb --destination-cidr-block Subnet 1 IPv4 CIDR --vpc-endpoint-id vpce-01234567890abcdef

    Si lo admiteIPv6, añada la siguiente ruta.

    aws ec2 create-route --route-table-id gateway-rtb --destination-cidr-block Subnet 1 IPv6 CIDR --vpc-endpoint-id vpce-01234567890abcdef

  2. Use el comando create-route para agregar una entrada a la tabla de enrutamiento de la subred con los servidores de aplicaciones que enrutan todo el tráfico desde los servidores de aplicaciones al punto de conexión del equilibrador de carga de la puerta de enlace.

    aws ec2 create-route --route-table-id application-rtb --destination-cidr-block 0.0.0.0/0 --vpc-endpoint-id vpce-01234567890abcdef

    Si lo admiteIPv6, añada la siguiente ruta.

    aws ec2 create-route --route-table-id application-rtb --destination-cidr-block ::/0 --vpc-endpoint-id vpce-01234567890abcdef

  3. Use el comando create-route para agregar una entrada a la tabla de enrutamiento de la subred con el punto de conexión equilibrador de carga de puerta de enlace que enruta todo el tráfico originado desde los servidores de aplicaciones a la puerta de enlace de Internet.

    aws ec2 create-route --route-table-id endpoint-rtb --destination-cidr-block 0.0.0.0/0 --gateway-id igw-01234567890abcdef

    Si lo admiteIPv6, añada la siguiente ruta.

    aws ec2 create-route --route-table-id endpoint-rtb --destination-cidr-block ::/0 --gateway-id igw-01234567890abcdef

  4. Repita el procedimiento para cada tabla de enrutamiento de subred de aplicaciones en cada zona.