Premiers pas avec les équilibreurs de charge Gateway Load Balancers - Elastic Load Balancing
PrésentationPrérequisÉtape 1 : Créer un Gateway Load BalancerÉtape 2 : Création d'un service de point de terminaison Gateway Load BalancerÉtape 3 : Création d’un point de terminaison Gateway Load BalancerÉtape 4 : Configuration du routage

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Premiers pas avec les équilibreurs de charge Gateway Load Balancers

Gateway Load Balancers facilite le déploiement, la mise à l’échelle et la gestion des appareils virtuels tiers, tels que les appareils de sécurité.

Dans le cadre de ce tutoriel, nous allons implémenter un système d’inspection à l’aide d’un Gateway Load Balancer et d’un point de terminaison Gateway Load Balancer.

Présentation

Un point de terminaison Gateway Load Balancer est un VPC point de terminaison qui fournit une connectivité privée entre les appliances virtuelles du fournisseur VPC de services et les serveurs d'applications du consommateur de services. VPC Le Gateway Load Balancer est déployé de la même manière VPC que celui des dispositifs virtuels. Ces appareils sont enregistrés en tant que groupe cible de l'équilibreur de charge Gateway Load Balancer.

Les serveurs d'applications s'exécutent dans un sous-réseau (sous-réseau de destination) du consommateur de servicesVPC, tandis que le point de terminaison Gateway Load Balancer se trouve dans un autre sous-réseau du même sous-réseau. VPC Tout le trafic entrant dans le consommateur de services VPC via la passerelle Internet est d'abord acheminé vers le point de terminaison Gateway Load Balancer, puis vers le sous-réseau de destination.

De même, tout le trafic quittant les serveurs d'applications (sous-réseau de destination) est acheminé vers le point de terminaison Gateway Load Balancer avant d'être réacheminé vers Internet. Le schéma de réseau suivant est une représentation visuelle de la manière dont un point de terminaison Gateway Load Balancer est utilisé pour accéder à un service de point de terminaison.

Utilisation d’un point de terminaison Gateway Load Balancer pour accéder à un service de point de terminaison

Les éléments numérotés qui suivent, mettent en évidence et expliquent ceux affichés sur l’image précédente.

Trafic depuis Internet vers l’application (flèches bleues) :

  1. Le trafic entre dans le consommateur de services VPC par le biais de la passerelle Internet.

  2. Le trafic est envoyé au point de terminaison Gateway Load Balancer à la suite du routage d’entrée.

  3. Le trafic est envoyé au Gateway Load Balancer qui distribue le trafic vers un des appareils de sécurité.

  4. Le trafic est renvoyé au point de terminaison Gateway Load Balancer après avoir été inspecté par l’appareil de sécurité.

  5. Le trafic est envoyé aux serveurs d'applications (sous-réseau de destination).

Trafic de l’application vers Internet (flèches oranges) :

  1. Le trafic est envoyé au point de terminaison Gateway Load Balancer à la suite du routage par défaut configuré sur le sous-réseau du serveur d’application.

  2. Le trafic est envoyé au Gateway Load Balancer qui distribue le trafic vers un des appareils de sécurité.

  3. Le trafic est renvoyé au point de terminaison Gateway Load Balancer après avoir été inspecté par l’appareil de sécurité.

  4. Le trafic est envoyé à la passerelle Internet en fonction de la configuration de la table de routage.

  5. Le trafic est redirigé vers Internet.

Routage

La table de routage de la passerelle Internet doit comporter une entrée qui achemine le trafic destiné aux serveurs d'applications vers le point de terminaison Gateway Load Balancer. Pour spécifier le point de terminaison Gateway Load Balancer, utilisez l'ID du point de terminaison. VPC L’exemple suivant montre les routages pour une configuration dualstack.

Destination Target
VPC IPv4 CIDR Local
VPC IPv6 CIDR Local
Subnet 1 IPv4 CIDR vpc-endpoint-id
Subnet 1 IPv6 CIDR vpc-endpoint-id

La table de routage du sous-réseau avec les serveurs d’application doit comporter des entrées qui acheminent tout le trafic des serveurs d'applications vers le point de terminaison Gateway Load Balancer.

Destination Target
VPC IPv4 CIDR Local
VPC IPv6 CIDR Locale
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id

La table de routage du sous-réseau avec le point de terminaison Gateway Load Balancer doit acheminer le trafic qui revient de l’inspection à sa destination finale. Pour le trafic provenant d'Internet, l’acheminement local s’assure qu’il atteigne les serveurs d'applications. Pour le trafic provenant des serveurs d'applications, ajoutez des entrées qui acheminent tout le trafic à la passerelle Internet.

Destination Target
VPC IPv4 CIDR Local
VPC IPv6 CIDR Locale
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id

Prérequis

  • Assurez-vous que le client du service VPC dispose d'au moins deux sous-réseaux pour chaque zone de disponibilité contenant des serveurs d'applications. Un sous-réseau est destiné au point de terminaison Gateway Load Balancer et l'autre aux serveurs d’applications.

  • Le Gateway Load Balancer et les cibles peuvent se trouver dans le même sous-réseau.

  • Vous ne pouvez pas utiliser un sous-réseau partagé depuis un autre compte pour déployer le Gateway Load Balancer.

  • Lancez au moins une instance d'appliance de sécurité dans chaque sous-réseau d'appliance de sécurité du fournisseur VPC de services. Les groupes de sécurité de ces instances doivent autoriser le UDP trafic sur le port 6081.

Étape 1 : Créer un Gateway Load Balancer

Utilisez la procédure suivante pour créer votre équilibreur de charge, votre écouteur et votre groupe cible.

Pour créer l'équilibreur de charge, l'écouteur et le groupe cible à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, sous Équilibrage de charge, choisissez Équilibreurs de charge.

  3. Choisissez Créer un équilibreur de charge.

  4. Sous Gateway Load Balancer, choisissez Créer.

  5. Configuration de base

    1. Pour Load balancer name (Nom de l'équilibreur de charge), saisissez un nom pour l'équilibreur de charge.

    2. Pour le type d'adresse IP, choisissez de prendre IPv4en charge les IPv4 adresses uniquement ou Dualstack pour prendre en charge à la fois les adresses IPv4 et IPv6 les adresses.

  6. Mappage du réseau

    1. Pour VPC, sélectionnez le fournisseur de servicesVPC.

    2. Pour Mappages, sélectionnez toutes les zones de disponibilité dans lesquelles vous avez lancé les instances d’appareils de sécurité, et un sous-réseau par zone de disponibilité.

  7. Routage d’écouteur d’IP

    1. Pour Action par défaut, sélectionnez un groupe cible existant pour recevoir le trafic. Ce groupe cible doit utiliser le GENEVE protocole.

      Si vous n'avez pas de groupe cible, choisissez Créer un groupe cible, qui ouvre un nouvel onglet dans votre navigateur. Choisissez un type de cible, entrez un nom pour le groupe cible et conservez le GENEVE protocole. Sélectionnez les instances VPC avec vos dispositifs de sécurité. Modifiez les paramètres de surveillance de l'état selon vos besoins et ajoutez les balises dont vous avez besoin. Choisissez Suivant. Vous pouvez enregistrer vos instances de dispositif de sécurité auprès du groupe cible dès à présent ou après avoir terminé cette procédure. Choisissez Créer un groupe cible, puis revenez à l'onglet précédent du navigateur.

    2. (Facultatif) Développez Balises d’écouteur et ajoutez les balises dont vous avez besoin.

  8. (Facultatif) Développez Balises d’équilibreur de charge et ajoutez les balises dont vous avez besoin.

  9. Choisissez Créer un équilibreur de charge.

Étape 2 : Création d'un service de point de terminaison Gateway Load Balancer

Utilisez la procédure suivante pour créer un service de point de terminaison à l'aide de votre Gateway Load Balancer.

Pour créer un service de point de terminaison Gateway Load Balancer

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Endpoint Services (Services de point de terminaison).

  3. Choisissez Créer un service de point de terminaison, puis effectuez les opérations suivantes :

    1. Pour Load balancer type (Type d'équilibreur de charge), choisissez Gateway (Passerelle).

    2. Pour Available load balancers (Équilibreurs de charge disponibles), sélectionnez l'équilibreur de charge de passerelle.

    3. Dans la section Require acceptance for endpoint (Acceptation requise pour le point de terminaison), sélectionnez Acceptance required (Acceptation requise) pour accepter les demandes de connexion à votre service manuellement. Sinon, elles sont acceptées automatiquement.

    4. Pour Supported IP address types (Types d'adresse IP pris en charge), effectuez l'une des opérations suivantes :

      • Sélectionner IPv4— Activez le service de point de terminaison pour qu'il accepte les IPv4 demandes.

      • Sélectionner IPv6— Activez le service de point de terminaison pour qu'il accepte les IPv6 demandes.

      • Sélectionnez IPv4et IPv6— Activez le service de point de terminaison pour qu'il accepte à la fois les IPv6 demandes IPv4 et.

    5. (Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l'identification.

    6. Sélectionnez Create (Créer). Notez le nom du service ; vous en aurez besoin lors de la création du point de terminaison.

  4. Sélectionnez le nouveau service de point de terminaison et choisissez Actions (Actions), Allow principals (Autoriser les mandataires). Entrez le ARNs nombre de consommateurs de services autorisés à créer un point de terminaison pour votre service. Un consommateur de services peut être un utilisateur, un IAM rôle ou Compte AWS. Choisissez Allow principals (Autoriser les mandataires).

Étape 3 : Création d’un point de terminaison Gateway Load Balancer

Utilisez la procédure suivante pour créer un point de terminaison Gateway Load Balancer qui se connecte à votre service de point de terminaison Gateway Load Balancer. Les points de terminaison Gateway Load Balancer sont répartis par zone. Nous vous recommandons de créer un point de terminaison Gateway Load Balancer par zone. Pour plus d’informations, consultez les Accès aux appareils virtuels via AWS PrivateLink dans le Guide AWS PrivateLink .

Pour créer un point de terminaison Gateway Load Balancer

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Choisissez Créer un point de terminaison, puis effectuez les opérations suivantes :

    1. Pour Service category (Catégorie de service), choisissez Other endpoint services (Autres services de point de terminaison).

    2. Pour Service Name (Nom du service), saisissez le nom du service que vous avez noté précédemment, puis choisissez Verify service (Vérifier le service).

    3. Pour VPC, sélectionnez le consommateur de servicesVPC.

    4. Pour Subnets (Sous-réseaux), sélectionnez un sous-réseau pour le point de terminaison Gateway Load Balancer.

    5. Pour IP address type (Type d'adresse IP), choisissez l'une des options suivantes :

      • IPv4— Attribuez IPv4 des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d'IPv4adresses.

      • IPv6— Attribuez IPv6 des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés IPv6 ne sont que des sous-réseaux.

      • Dualstack — Attribuez à la fois des IPv6 adresses IPv4 et des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent à la fois des plages d'IPv6adresses IPv4 et des plages d'adresses.

    6. (Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l'identification.

    7. Choisissez Créer un point de terminaison. L’état initial est pending acceptance.

Utilisez la procédure suivante pour accepter la demande de connexion au point de terminaison.

  1. Dans le volet de navigation, choisissez Endpoint Services (Services de point de terminaison).

  2. Sélectionnez le service de point de terminaison.

  3. Dans l'onglet Endpoint connections (Connexions de point de terminaison), sélectionnez la connexion de point de terminaison.

  4. Pour accepter la demande de connexion, choisissez Actions, Accept endpoint connection request (Accepter la demande de connexion de point de terminaison). À l'invite de confirmation, saisissez accept, puis choisissez Accept (Accepter).

Étape 4 : Configuration du routage

Configurez les tables de routage pour le consommateur de services VPC comme suit. Cela permet aux dispositifs de sécurité d'effectuer une inspection de sécurité du trafic entrant destiné aux serveurs d'applications.

Pour configurer le routage

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Route tables (Tables de routage).

  3. Sélectionnez la table de routage pour la passerelle Internet et procédez comme suit :

    1. Choisissez Actions, Modifier les routes.

    2. Choisissez Ajouter une route. Pour Destination, entrez le IPv4 CIDR bloc du sous-réseau pour les serveurs d'applications. Pour Target, sélectionnez le VPC point de terminaison.

    3. Si vous êtes d'IPv6accord, choisissez Ajouter un itinéraire. Pour Destination, entrez le IPv6 CIDR bloc du sous-réseau pour les serveurs d'applications. Pour Target, sélectionnez le VPC point de terminaison.

    4. Sélectionnez Enregistrer les modifications.

  4. Sélectionnez la table de routage pour le sous-réseau avec les serveurs d'applications et procédez comme suit :

    1. Choisissez Actions, Modifier les routes.

    2. Choisissez Ajouter une route. En regard de Destination, entrez 0.0.0.0/0. Pour Target, sélectionnez le VPC point de terminaison.

    3. Si vous êtes d'IPv6accord, choisissez Ajouter un itinéraire. En regard de Destination, entrez ::/0. Pour Target, sélectionnez le VPC point de terminaison.

    4. Sélectionnez Enregistrer les modifications.

  5. Sélectionnez la table de routage pour le sous-réseau avec le point de terminaison d'équilibreur de charge de passerelle, puis procédez comme suit :

    1. Choisissez Actions, Modifier les routes.

    2. Choisissez Ajouter une route. En regard de Destination, entrez 0.0.0.0/0. Pour Target (Cible), sélectionnez la passerelle Internet.

    3. Si vous êtes d'IPv6accord, choisissez Ajouter un itinéraire. En regard de Destination, entrez ::/0. Pour Target (Cible), sélectionnez la passerelle Internet.

    4. Sélectionnez Enregistrer les modifications.