Introducción a los equilibradores de carga de red - Elastic Load Balancing
Información generalRequisitos previosPaso 1: crear un equilibrador de carga de puerta de enlaceCreación de un servicio de punto de conexión del equilibrador de carga de puerta de enlace Creación de un punto de conexión del equilibrador de carga de puerta de enlace Paso 4: Configuración del enrutamiento

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Introducción a los equilibradores de carga de red

Los equilibradores de carga de puerta de enlace permiten implementar, escalar y administrar dispositivos virtuales de terceros, como dispositivos de seguridad.

En este tutorial, implementaremos un sistema de inspección con un equilibrador de carga y un punto de conexión del equilibrador de carga de puerta de enlace.

Información general

Un punto de conexión del equilibrador de carga de puerta de enlace es un punto de conexión de VPC que proporciona conectividad privada entre los dispositivos virtuales de la VPC del proveedor de servicios y los servidores de aplicaciones de la VPC del consumidor de servicios. El equilibrador de carga de puerta de enlace se implementa en la misma VPC que los dispositivos virtuales. Registre los dispositivos virtuales en un grupo de destino para el equilibrador de carga de puerta de enlace.

Los servidores de aplicaciones se ejecutan en una subred (subred de destino) de la VPC del consumidor de servicios, mientras que el punto de conexión de equilibrador de carga de puerta de enlace se encuentra en otra subred de la misma VPC. Todo el tráfico que ingresa a la VPC del consumidor del servicio a través de la puerta de enlace de Internet se dirige primero al punto de conexión del equilibrador de carga de puerta de enlace para su inspección y, luego, se dirige a la subred de destino.

Del mismo modo, todo el tráfico que sale de los servidores de aplicaciones (subred de destino) se dirige al punto de conexión del equilibrador de carga de puerta de enlace antes de que se dirija nuevamente a Internet. El siguiente diagrama de red es una representación visual de cómo se utiliza un punto de conexión de equilibrador de carga de puerta de enlace para acceder a un servicio de punto de conexión.

Uso de un punto de conexión del equilibrador de carga de puerta de enlace para acceder a un servicio de punto de conexión

Los elementos numerados que siguen, destacan y explican los elementos que se muestran en la imagen anterior.

Tráfico de Internet a las aplicaciones (flechas azules):

  1. El tráfico ingresa a la VPC del consumidor del servicio a través de la puerta de enlace de Internet.

  2. El tráfico se envía al punto de conexión del equilibrador de carga de la puerta de enlace , como resultado del enrutamiento de entrada.

  3. El tráfico se envía al Equilibrador de carga de la puerta de enlace , que distribuye el tráfico a uno de los dispositivos de seguridad.

  4. El tráfico se envía nuevamente al punto de conexión del equilibrador de carga de la puerta de enlace después de la inspección.

  5. El tráfico se envía a los servidores de aplicaciones (subred de destino).

Tráfico de los servidores de aplicaciones a Internet (flechas naranjas):

  1. El tráfico se envía al punto de conexión del equilibrador de carga de la puerta de enlace como resultado de la ruta predeterminada configurada en la subred del servidor de aplicaciones.

  2. El tráfico se envía al Equilibrador de carga de la puerta de enlace , que distribuye el tráfico a uno de los dispositivos de seguridad.

  3. El tráfico se envía nuevamente al punto de conexión del equilibrador de carga de la puerta de enlace después de la inspección.

  4. El tráfico se envía a la puerta de enlace de Internet en función de la configuración de la tabla de enrutamiento.

  5. El tráfico se dirige nuevamente a Internet.

Enrutamiento

La tabla de enrutamiento para la puerta de enlace de Internet debe tener una entrada que envíe el tráfico destinado a los servidores de aplicaciones al punto de conexión del equilibrador de carga de la puerta de enlace. Para especificar el punto de conexión del equilibrador de carga de puerta de enlace, utilice el ID del punto de conexión de VPC. En el siguiente ejemplo se muestran las rutas para la configuración de doble pila.

Destino Objetivo
CIDR IPv4 de VPC Local
CIDR IPv6 de VPC Local
CIDR IPv4 de la subred 1 vpc-endpoint-id
CIDR IPv6 de la subred 1 vpc-endpoint-id

La tabla de enrutamiento para la subred con los servidores de aplicaciones debe tener entradas que envíen todo el tráfico desde los servidores de aplicaciones al punto de conexión del equilibrador de carga de la puerta de enlace.

Destino Objetivo
CIDR IPv4 de VPC Local
CIDR IPv6 de VPC Local
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id

La tabla de enrutamiento para la subred con el punto de conexión del equilibrador de carga de la puerta de enlace debe enviar el tráfico que regresa de la inspección hasta su destino final. En el caso del tráfico que proviene de Internet, la ruta local se asegura de que llegue a los servidores de aplicaciones. Para el tráfico que proviene de los servidores de aplicaciones, agregue una ruta que dirija todo el tráfico a la puerta de enlace de Internet.

Destino Objetivo
CIDR IPv4 de VPC Local
CIDR IPv6 de VPC Local
0.0.0.0/0 internet-puerta de enlace -id
::/0 internet-puerta de enlace -id

Requisitos previos

  • Asegúrese de que la VPC del consumidor del servicio tenga al menos dos subredes para cada zona de disponibilidad que contenga servidores de aplicaciones. Una subred es para los servidores de aplicaciones y la otra es para el punto de conexión del equilibrador de carga de puerta de enlace.

  • El equilibrador de carga de puerta de enlace y los destinos pueden estar en la misma subred.

  • No puede usar una subred compartida desde otra cuenta para implementar el equilibrador de carga de puerta de enlace.

  • Inicie al menos una instancia de dispositivo de seguridad en cada subred del dispositivo de seguridad de la VPC del proveedor de servicios. Los grupos de seguridad para estas instancias deben permitir el tráfico UDP en el puerto 6081.

Paso 1: crear un equilibrador de carga de puerta de enlace

Siga el procedimiento a continuación para crear un equilibrador de carga, un oyente y un grupo de destino.

Para crear el equilibrador de carga, el oyente y el grupo de destino con la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, en Equilibración de carga, elija equilibradores de carga.

  3. Elija Crear un equilibrador de carga.

  4. En Equilibrador de carga de puerta de enlace, seleccione Crear.

  5. Configuración básica

    1. En Load Balancer name (Nombre del equilibrador de carga), escriba un nombre para el equilibrador de carga.

    2. En Tipo de dirección IP, elija IPv4 para admitir únicamente las direcciones IPv4, o bien Doble pila para admitir las direcciones IPv4 e IPv6.

  6. Asignación de redes

    1. Para la VPC, seleccione la VPC del proveedor de servicios.

    2. Para los mapeos, seleccione todas las zonas de disponibilidad en las que inició las instancias del dispositivo de seguridad y una subred por zona de disponibilidad.

  7. Enrutamiento del oyente de IP

    1. Como acción predeterminada, seleccione un grupo de destino existente para recibir el tráfico. Este grupo de destino debe usar el protocolo GENEVE.

      Si no tiene un grupo de destino, elija Crear grupo de destino, que abrirá una nueva pestaña en su navegador. Elija un tipo de destino, ingrese un nombre para el grupo de destino y mantenga el protocolo GENEVE. Seleccione la VPC con las instancias de su dispositivo de seguridad. Modifique la configuración de la comprobación de estado según sea necesario y añada las etiquetas que necesite. Elija Siguiente. Puede registrar las instancias del dispositivo de seguridad en el grupo de destino ahora o después de finalizar este procedimiento. Seleccione Crear grupo de destino y, a continuación, vuelva a la pestaña anterior del navegador.

    2. (Opcional) Amplíe las etiquetas de oyente y añada las etiquetas que necesite.

  8. (Opcional) Amplíe las etiquetas del equilibrador de carga y añada las etiquetas que necesite.

  9. Elija Crear un equilibrador de carga.

Creación de un servicio de punto de conexión del equilibrador de carga de puerta de enlace

Utilice el siguiente procedimiento para crear un servicio de punto de conexión con un equilibrador de carga de puerta de enlace.

Creación de un servicio de punto de conexión del equilibrador de carga de puerta de enlace

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Endpoint Services (Servicios de punto de conexión).

  3. Seleccione Crear servicio de punto de conexión y haga lo siguiente:

    1. En Load balancer type (Tipo de equilibrador de carga), elija Puerta de enlace.

    2. Para Available load balancers (Equilibradores de carga disponibles), seleccione el equilibrador de carga de la puerta de enlace.

    3. En Require acceptance for endpoint (Solicitar aceptación para punto de conexión), seleccione Acceptance required (Aceptación solicitada) para establecer que las solicitudes de conexión al servicio de punto de conexión se deben aceptar de forma manual. De lo contrario, se aceptan de forma automática.

    4. En Supported IP address types (Tipos de direcciones IP compatibles), haga una de las siguientes acciones:

      • Seleccione IPv4: se habilita el servicio de punto de conexión para aceptar solicitudes de IPv4.

      • Seleccione IPv6: se habilita el servicio de punto de conexión para aceptar solicitudes de IPv6.

      • Seleccione IPv4 y IPv6: se habilita el servicio de punto de conexión para aceptar solicitudes de IPv4 y IPv6.

    5. (Opcional) Para agregar una etiqueta, elija Add new tag (Agregar etiqueta nueva) e ingrese la clave y el valor de la etiqueta.

    6. Seleccione Crear. Anote el nombre del servicio; lo necesitará al crear el punto de conexión.

  4. Seleccione el servicio de punto de conexión y elija Actions (Acciones), Allow principals (Permitir entidades principales). Introduzca los ARN de los consumidores de servicios a los que se permite crear un punto de conexión para el servicio. Un consumidor de servicios puede ser un usuario, rol de IAM oCuenta de AWS. Elija Allow principals (Permitir entidades principales).

Creación de un punto de conexión del equilibrador de carga de puerta de enlace

Utilice el siguiente procedimiento para crear un punto de conexión del equilibrador de carga de puerta de enlace que se conecte al servicio de punto de conexión para el sistema de inspección. Puntos de conexión del equilibrador de carga de la puerta de enlace Le recomendamos que cree un punto de conexión de equilibrador de carga de puerta de enlace por zona. Para obtener más información, consulte Acceso a dispositivos virtuales mediante AWS PrivateLink en la Guía de.AWS PrivateLink

Para crear un punto de conexión del equilibrador de carga de puerta de enlace

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Puntos de conexión.

  3. Elija Crear punto de conexión y haga lo siguiente:

    1. En Service category (Categoría del servicio), elija Other endpoint services (Otros servicios de punto de conexión).

    2. En Service name (Nombre del servicio), ingrese el nombre del servicio y luego elija Verify service (Comprobar servicio).

    3. Para la VPC, seleccione la VPC del consumidor de servicios.

    4. En el caso de las subredes, seleccione una subred para el punto de conexión del equilibrador de carga de la puerta de enlace.

    5. En IP address type (Tipo de dirección IP), elija entre las siguientes opciones:

      • IPv4: se asignan direcciones IPv4 a las interfaces de red del punto de conexión. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de direcciones IPv4.

      • IPv6: se asignan direcciones IPv6 a las interfaces de red del punto de conexión. Esta opción solo se admite si todas las subredes seleccionadas son subredes IPv6.

      • Dualstack: se asignan direcciones IPv4 e IPv6 a las interfaces de red del punto de conexión. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de direcciones IPv4 e IPv6.

    6. (Opcional) Para agregar una etiqueta, elija Add new tag (Agregar etiqueta nueva) e ingrese la clave y el valor de la etiqueta.

    7. Seleccione Crear punto de conexión. El estado inicial es.pending acceptance

Para aceptar la solicitud de conexión del punto de conexión, utilice el siguiente procedimiento.

  1. En el panel de navegación, elija Endpoint Services (Servicios de punto de conexión).

  2. Seleccione el servicio de punto de conexión.

  3. En la pestaña Endpoint connections (Conexiones del punto de conexión), seleccione la conexión del punto de conexión.

  4. Para aceptar la solicitud de conexión, elija Actions (Acciones), Accept endpoint connection request (Aceptar solicitud de conexión del punto de conexión). Cuando se le solicite confirmación, ingrese accept y luego, elija Accept (Aceptar).

Paso 4: Configuración del enrutamiento

Configure las tablas de enrutamiento para la VPC del consumidor de servicios según se indica. Esto permite que los dispositivos de seguridad realicen una inspección de seguridad del tráfico entrante con destino a los servidores de aplicaciones.

Para configurar el enrutamiento

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Tablas de enrutamiento.

  3. Seleccione la tabla de enrutamiento para la puerta de enlace de Internet y realice lo siguiente:

    1. Elija Actions (Acciones), Edit routes (Editar rutas).

    2. Seleccione Add route (Agregar ruta). En Destination (Destino), ingrese el bloque de CIDR IPv4 de la subred para los servidores de aplicaciones. En Target (Objetivo), seleccione el punto de conexión de VPC.

    3. Si admite IPv6, elija Agregar ruta. En Destination (Destino), ingrese el bloque de CIDR IPv6 de la subred para los servidores de aplicaciones. En Target (Objetivo), seleccione el punto de conexión de VPC.

    4. Elija Guardar cambios.

  4. Seleccione la tabla de enrutamiento para la subred con los servidores de aplicaciones y haga lo siguiente:

    1. Elija Actions (Acciones), Edit routes (Editar rutas).

    2. Seleccione Add route (Agregar ruta). En Destino, escriba 0.0.0.0/0. En Target (Objetivo), seleccione el punto de conexión de VPC.

    3. Si admite IPv6, elija Agregar ruta. En Destino, escriba ::/0. En Target (Objetivo), seleccione el punto de conexión de VPC.

    4. Elija Guardar cambios.

  5. Seleccione la tabla de enrutamiento para la subred con el punto de conexión del equilibrador de carga de puerta de enlace y realice lo siguiente:

    1. Elija Actions (Acciones), Edit routes (Editar rutas).

    2. Seleccione Add route (Agregar ruta). En Destino, escriba 0.0.0.0/0. En Target (Objetivo), seleccione la puerta de enlace de Internet.

    3. Si admite IPv6, elija Agregar ruta. En Destino, escriba ::/0. En Target (Objetivo), seleccione la puerta de enlace de Internet.

    4. Elija Guardar cambios.