Memulai dengan Gateway Load Balancers menggunakan AWS CLI - Penyeimbang Beban Elastis
Gambaran UmumPrasyaratLangkah 1: Buat Load Balancer Gateway dan daftarkan targetLangkah 2: Buat titik akhir Load Balancer GatewayLangkah 3: Konfigurasikan perutean

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan Gateway Load Balancers menggunakan AWS CLI

Gateway Load Balancers memudahkan penerapan, skala, dan pengelolaan peralatan virtual pihak ketiga, seperti peralatan keamanan.

Dalam tutorial ini, kita akan menerapkan sistem inspeksi menggunakan Load Balancer Gateway dan titik akhir Gateway Load Balancer.

Gambaran Umum

Endpoint Load Balancer Gateway adalah VPC titik akhir yang menyediakan konektivitas pribadi antara peralatan virtual di penyedia layananVPC, dan server aplikasi di konsumen layanan. VPC Load Balancer Gateway digunakan VPC sama dengan peralatan virtual. Peralatan ini terdaftar sebagai kelompok sasaran Gateway Load Balancer.

Server aplikasi berjalan di satu subnet (subnet tujuan) di konsumen layananVPC, sedangkan titik akhir Gateway Load Balancer berada di subnet lain yang sama. VPC Semua lalu lintas yang masuk ke konsumen layanan VPC melalui gateway internet pertama-tama diarahkan ke titik akhir Load Balancer Gateway dan kemudian diarahkan ke subnet tujuan.

Demikian pula, semua lalu lintas yang meninggalkan server aplikasi (subnet tujuan) dirutekan ke titik akhir Gateway Load Balancer sebelum dirutekan kembali ke internet. Diagram jaringan berikut adalah representasi visual tentang bagaimana titik akhir Load Balancer Gateway digunakan untuk mengakses layanan endpoint.

Menggunakan titik akhir Penyeimbang Beban Gateway untuk mengakses layanan titik akhir

Item bernomor yang mengikuti, menyorot, dan menjelaskan elemen yang ditunjukkan pada gambar sebelumnya.

Lalu lintas dari internet ke aplikasi (panah biru):

  1. Lalu lintas memasuki konsumen layanan VPC melalui gateway internet.

  2. Lalu lintas dikirim ke titik akhir Load Balancer Gateway, sebagai akibat dari perutean ingress.

  3. Lalu lintas dikirim ke Load Balancer Gateway, yang mendistribusikan lalu lintas ke salah satu peralatan keamanan.

  4. Lalu lintas dikirim kembali ke titik akhir Load Balancer Gateway setelah diperiksa oleh alat keamanan.

  5. Lalu lintas dikirim ke server aplikasi (subnet tujuan).

Lalu lintas dari aplikasi ke internet (panah oranye):

  1. Lalu lintas dikirim ke titik akhir Load Balancer Gateway sebagai hasil dari rute default yang dikonfigurasi pada subnet server aplikasi.

  2. Lalu lintas dikirim ke Load Balancer Gateway, yang mendistribusikan lalu lintas ke salah satu peralatan keamanan.

  3. Lalu lintas dikirim kembali ke titik akhir Load Balancer Gateway setelah diperiksa oleh alat keamanan.

  4. Lalu lintas dikirim ke gateway internet berdasarkan konfigurasi tabel rute.

  5. Lalu lintas dialihkan kembali ke internet.

Perutean

Tabel rute untuk gateway internet harus memiliki entri yang mengarahkan lalu lintas yang ditujukan untuk server aplikasi ke titik akhir Load Balancer Gateway. Untuk menentukan titik akhir Load Balancer Gateway, gunakan ID titik akhir. VPC Contoh berikut menunjukkan rute untuk konfigurasi dualstack.

Tujuan Target
VPC IPv4 CIDR Lokal:
VPC IPv6 CIDR Lokal:
Subnet 1 IPv4 CIDR vpc-endpoint-id
Subnet 1 IPv6 CIDR vpc-endpoint-id

Tabel rute untuk subnet dengan server aplikasi harus memiliki entri yang merutekan semua lalu lintas dari server aplikasi ke titik akhir Load Balancer Gateway.

Tujuan Target
VPC IPv4 CIDR Lokal:
VPC IPv6 CIDR Lokal:
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id

Tabel rute untuk subnet dengan titik akhir Gateway Load Balancer harus merutekan lalu lintas yang kembali dari inspeksi ke tujuan akhirnya. Untuk lalu lintas yang berasal dari internet, rute lokal memastikan bahwa ia mencapai server aplikasi. Untuk lalu lintas yang berasal dari server aplikasi, tambahkan entri yang merutekan semua lalu lintas ke gateway internet.

Tujuan Target
VPC IPv4 CIDR Lokal:
VPC IPv6 CIDR Lokal:
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id

Prasyarat

  • Instal AWS CLI atau perbarui ke versi saat ini AWS CLI jika Anda menggunakan versi yang tidak mendukung Gateway Load Balancers. Untuk informasi selengkapnya, lihat Menginstal AWS Command Line Interface dalam Panduan Pengguna AWS Command Line Interface .

  • Pastikan bahwa konsumen layanan VPC memiliki setidaknya dua subnet untuk setiap Availability Zone yang berisi server aplikasi. Satu subnet adalah untuk titik akhir Gateway Load Balancer, dan yang lainnya untuk server aplikasi.

  • Pastikan penyedia layanan VPC memiliki setidaknya dua subnet untuk setiap Availability Zone yang berisi instance alat keamanan. Satu subnet adalah untuk Load Balancer Gateway, dan yang lainnya untuk instance.

  • Luncurkan setidaknya satu instance alat keamanan di setiap subnet alat keamanan di penyedia VPC layanan. Grup keamanan untuk contoh ini harus mengizinkan UDP lalu lintas di port 6081.

Langkah 1: Buat Load Balancer Gateway dan daftarkan target

Gunakan prosedur berikut untuk membuat penyeimbang beban, pendengar, dan grup target, dan untuk mendaftarkan instance alat keamanan Anda sebagai target.

Untuk membuat Load Balancer Gateway dan mendaftarkan target

  1. Gunakan create-load-balancerperintah untuk membuat penyeimbang beban tipegateway. Anda dapat menentukan satu subnet untuk setiap Availability Zone tempat Anda meluncurkan instance alat keamanan.

    aws elbv2 create-load-balancer --name my-load-balancer --type gateway --subnets provider-subnet-id

    Defaultnya adalah untuk mendukung IPv4 alamat saja. Untuk mendukung keduanya IPv4 dan IPv6 alamat, tambahkan --ip-address-type dualstack opsi.

    Outputnya mencakup Amazon Resource Name (ARN) dari load balancer, dengan format yang ditunjukkan pada contoh berikut.

    arn:aws:elasticloadbalancing:us-east-2:123456789012:loadbalancer/gwy/my-load-balancer/1234567890123456

  2. Gunakan create-target-groupperintah untuk membuat grup target, menentukan penyedia layanan VPC tempat Anda meluncurkan instance Anda.

    aws elbv2 create-target-group --name my-targets --protocol GENEVE --port 6081 --vpc-id provider-vpc-id

    Outputnya mencakup kelompok target, dengan format berikut. ARN

    arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/0123456789012345

  3. Gunakan perintah register-target untuk mendaftarkan instance Anda dengan grup target Anda.

    aws elbv2 register-targets --target-group-arn targetgroup-arn --targets Id=i-1234567890abcdef0 Id=i-0abcdef1234567890

  4. Gunakan perintah create-listener untuk membuat listener untuk penyeimbang beban Anda dengan aturan default yang meneruskan permintaan ke grup target Anda.

    aws elbv2 create-listener --load-balancer-arn loadbalancer-arn --default-actions Type=forward,TargetGroupArn=targetgroup-arn

    Outputnya berisi ARN pendengar, dengan format berikut.

    arn:aws:elasticloadbalancing:us-east-2:123456789012:listener/gwy/my-load-balancer/1234567890123456/abc1234567890123

  5. (Opsional) Anda dapat memverifikasi kesehatan target terdaftar untuk grup target Anda menggunakan describe-target-healthperintah berikut.

    aws elbv2 describe-target-health --target-group-arn targetgroup-arn

Langkah 2: Buat titik akhir Load Balancer Gateway

Gunakan prosedur berikut untuk membuat titik akhir Load Balancer Gateway. Titik akhir Load Balancer Gateway bersifat zonal. Kami menyarankan Anda membuat satu titik akhir Load Balancer Gateway per zona. Untuk informasi selengkapnya, lihat Mengakses peralatan virtual melalui AWS PrivateLink.

Untuk membuat titik akhir Load Balancer Gateway

  1. Gunakan perintah create-vpc-endpoint-service-configuration untuk membuat konfigurasi layanan endpoint menggunakan Load Balancer Gateway Anda.

    aws ec2 create-vpc-endpoint-service-configuration --gateway-load-balancer-arns loadbalancer-arn --no-acceptance-required

    Untuk mendukung keduanya IPv4 dan IPv6 alamat, tambahkan --supported-ip-address-types ipv4 ipv6 opsi.

    Output berisi ID layanan (misalnya, vpce-svc-12345678901234567) dan nama layanan (misalnya, com.amazonaws.vpce.us-east-2.vpce-svc-12345678901234567).

  2. Gunakan perintah modify-vpc-endpoint-service-permissions untuk memungkinkan konsumen layanan membuat endpoint ke layanan Anda. Konsumen layanan dapat menjadi pengguna, IAM peran, atau Akun AWS. Contoh berikut menambahkan izin untuk yang ditentukan Akun AWS.

    aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-12345678901234567 --add-allowed-principals arn:aws:iam::123456789012:root

  3. Gunakan create-vpc-endpointperintah untuk membuat titik akhir Load Balancer Gateway untuk layanan Anda.

    aws ec2 create-vpc-endpoint --vpc-endpoint-type GatewayLoadBalancer --service-name com.amazonaws.vpce.us-east-2.vpce-svc-12345678901234567 --vpc-id consumer-vpc-id --subnet-ids consumer-subnet-id

    Untuk mendukung keduanya IPv4 dan IPv6 alamat, tambahkan --ip-address-type dualstack opsi.

    Output berisi ID titik akhir Load Balancer Gateway (misalnya, vpce-01234567890abcdef).

Langkah 3: Konfigurasikan perutean

Konfigurasikan tabel rute untuk konsumen layanan VPC sebagai berikut. Hal ini memungkinkan peralatan keamanan untuk melakukan pemeriksaan keamanan pada lalu lintas masuk yang ditujukan untuk server aplikasi.

Untuk mengkonfigurasi routing

  1. Gunakan perintah create-route untuk menambahkan entri ke tabel rute untuk gateway internet yang merutekan lalu lintas yang ditujukan untuk server aplikasi ke titik akhir Gateway Load Balancer.

    aws ec2 create-route --route-table-id gateway-rtb --destination-cidr-block Subnet 1 IPv4 CIDR --vpc-endpoint-id vpce-01234567890abcdef

    Jika Anda mendukungIPv6, tambahkan rute berikut.

    aws ec2 create-route --route-table-id gateway-rtb --destination-cidr-block Subnet 1 IPv6 CIDR --vpc-endpoint-id vpce-01234567890abcdef

  2. Gunakan perintah create-route untuk menambahkan entri ke tabel rute untuk subnet dengan server aplikasi yang merutekan semua lalu lintas dari server aplikasi ke titik akhir Gateway Load Balancer.

    aws ec2 create-route --route-table-id application-rtb --destination-cidr-block 0.0.0.0/0 --vpc-endpoint-id vpce-01234567890abcdef

    Jika Anda mendukungIPv6, tambahkan rute berikut.

    aws ec2 create-route --route-table-id application-rtb --destination-cidr-block ::/0 --vpc-endpoint-id vpce-01234567890abcdef

  3. Gunakan perintah create-route untuk menambahkan entri ke tabel rute untuk subnet dengan titik akhir Gateway Load Balancer yang merutekan semua lalu lintas yang berasal dari server aplikasi ke gateway internet.

    aws ec2 create-route --route-table-id endpoint-rtb --destination-cidr-block 0.0.0.0/0 --gateway-id igw-01234567890abcdef

    Jika Anda mendukungIPv6, tambahkan rute berikut.

    aws ec2 create-route --route-table-id endpoint-rtb --destination-cidr-block ::/0 --gateway-id igw-01234567890abcdef

  4. Ulangi untuk setiap tabel rute subnet aplikasi di setiap zona.