Memulai dengan Gateway Load Balancers - Penyeimbang Beban Elastis
Gambaran UmumPrasyaratLangkah 1: Buat Load Balancer GatewayLangkah 2: Buat layanan titik akhir Load Balancer GatewayLangkah 3: Buat titik akhir Load Balancer GatewayLangkah 4: Konfigurasikan perutean

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan Gateway Load Balancers

Gateway Load Balancers memudahkan penerapan, skala, dan pengelolaan peralatan virtual pihak ketiga, seperti peralatan keamanan.

Dalam tutorial ini, kita akan menerapkan sistem inspeksi menggunakan Load Balancer Gateway dan titik akhir Gateway Load Balancer.

Gambaran Umum

Endpoint Load Balancer Gateway adalah VPC titik akhir yang menyediakan konektivitas pribadi antara peralatan virtual di penyedia layananVPC, dan server aplikasi di konsumen layanan. VPC Load Balancer Gateway digunakan VPC sama dengan peralatan virtual. Peralatan ini terdaftar sebagai kelompok sasaran Gateway Load Balancer.

Server aplikasi berjalan di satu subnet (subnet tujuan) di konsumen layananVPC, sedangkan titik akhir Gateway Load Balancer berada di subnet lain yang sama. VPC Semua lalu lintas yang masuk ke konsumen layanan VPC melalui gateway internet pertama-tama diarahkan ke titik akhir Load Balancer Gateway dan kemudian diarahkan ke subnet tujuan.

Demikian pula, semua lalu lintas yang meninggalkan server aplikasi (subnet tujuan) dirutekan ke titik akhir Gateway Load Balancer sebelum dirutekan kembali ke internet. Diagram jaringan berikut adalah representasi visual tentang bagaimana titik akhir Load Balancer Gateway digunakan untuk mengakses layanan endpoint.

Menggunakan titik akhir Penyeimbang Beban Gateway untuk mengakses layanan titik akhir

Item bernomor yang mengikuti, menyorot, dan menjelaskan elemen yang ditunjukkan pada gambar sebelumnya.

Lalu lintas dari internet ke aplikasi (panah biru):

  1. Lalu lintas memasuki konsumen layanan VPC melalui gateway internet.

  2. Lalu lintas dikirim ke titik akhir Load Balancer Gateway, sebagai akibat dari perutean ingress.

  3. Lalu lintas dikirim ke Load Balancer Gateway, yang mendistribusikan lalu lintas ke salah satu peralatan keamanan.

  4. Lalu lintas dikirim kembali ke titik akhir Load Balancer Gateway setelah diperiksa oleh alat keamanan.

  5. Lalu lintas dikirim ke server aplikasi (subnet tujuan).

Lalu lintas dari aplikasi ke internet (panah oranye):

  1. Lalu lintas dikirim ke titik akhir Load Balancer Gateway sebagai hasil dari rute default yang dikonfigurasi pada subnet server aplikasi.

  2. Lalu lintas dikirim ke Load Balancer Gateway, yang mendistribusikan lalu lintas ke salah satu peralatan keamanan.

  3. Lalu lintas dikirim kembali ke titik akhir Load Balancer Gateway setelah diperiksa oleh alat keamanan.

  4. Lalu lintas dikirim ke gateway internet berdasarkan konfigurasi tabel rute.

  5. Lalu lintas dialihkan kembali ke internet.

Perutean

Tabel rute untuk gateway internet harus memiliki entri yang mengarahkan lalu lintas yang ditujukan untuk server aplikasi ke titik akhir Load Balancer Gateway. Untuk menentukan titik akhir Load Balancer Gateway, gunakan ID titik akhir. VPC Contoh berikut menunjukkan rute untuk konfigurasi dualstack.

Tujuan Target
VPC IPv4 CIDR Lokal:
VPC IPv6 CIDR Lokal:
Subnet 1 IPv4 CIDR vpc-endpoint-id
Subnet 1 IPv6 CIDR vpc-endpoint-id

Tabel rute untuk subnet dengan server aplikasi harus memiliki entri yang merutekan semua lalu lintas dari server aplikasi ke titik akhir Load Balancer Gateway.

Tujuan Target
VPC IPv4 CIDR Lokal:
VPC IPv6 CIDR Lokal:
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id

Tabel rute untuk subnet dengan titik akhir Gateway Load Balancer harus merutekan lalu lintas yang kembali dari inspeksi ke tujuan akhirnya. Untuk lalu lintas yang berasal dari internet, rute lokal memastikan bahwa ia mencapai server aplikasi. Untuk lalu lintas yang berasal dari server aplikasi, tambahkan entri yang merutekan semua lalu lintas ke gateway internet.

Tujuan Target
VPC IPv4 CIDR Lokal:
VPC IPv6 CIDR Lokal:
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id

Prasyarat

  • Pastikan bahwa konsumen layanan VPC memiliki setidaknya dua subnet untuk setiap Availability Zone yang berisi server aplikasi. Satu subnet adalah untuk titik akhir Gateway Load Balancer, dan yang lainnya untuk server aplikasi.

  • Load Balancer Gateway dan targetnya bisa berada di subnet yang sama.

  • Anda tidak dapat menggunakan subnet yang dibagikan dari akun lain untuk menyebarkan Load Balancer Gateway.

  • Luncurkan setidaknya satu instance alat keamanan di setiap subnet alat keamanan di penyedia VPC layanan. Grup keamanan untuk contoh ini harus mengizinkan UDP lalu lintas di port 6081.

Langkah 1: Buat Load Balancer Gateway

Gunakan prosedur berikut untuk membuat penyeimbang beban, pendengar, dan grup target Anda.

Untuk membuat load balancer, listener, dan grup target menggunakan konsol

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pada panel navigasi, di bawah Penyeimbangan Beban, pilih Penyeimbang Beban.

  3. Pilih Buat Penyeimbang Beban.

  4. Di bawah Load Balancer Gateway, pilih Buat.

  5. Konfigurasi dasar

    1. Untuk Name, masukkan nama untuk penyeimbang beban Anda.

    2. Untuk jenis alamat IP, pilih IPv4untuk mendukung IPv4 alamat saja atau Dualstack untuk mendukung keduanya IPv4 dan IPv6 alamat.

  6. Pemetaan jaringan

    1. Untuk VPC, pilih penyedia layananVPC.

    2. Untuk Pemetaan, pilih semua Availability Zone tempat Anda meluncurkan instance alat keamanan, dan satu subnet per Availability Zone.

  7. Perutean pendengar IP

    1. Untuk tindakan Default, pilih grup target yang ada untuk menerima lalu lintas. Kelompok sasaran ini harus menggunakan GENEVE protokol.

      Jika Anda tidak memiliki grup target, pilih Buat grup target, yang membuka tab baru di browser Anda. Pilih jenis target, masukkan nama untuk grup target, dan pertahankan GENEVE protokol. Pilih instans VPC dengan alat keamanan Anda. Ubah pengaturan pemeriksaan kesehatan sesuai kebutuhan, dan tambahkan tag apa pun yang Anda butuhkan. Pilih Berikutnya. Anda dapat mendaftarkan instance alat keamanan Anda dengan grup target sekarang, atau setelah Anda menyelesaikan prosedur ini. Pilih Buat grup target dan kemudian kembali ke tab browser sebelumnya.

    2. (Opsional) Perluas tag Listener dan tambahkan tag yang Anda butuhkan.

  8. (Opsional) Perluas tag penyeimbang beban dan tambahkan tag yang Anda butuhkan.

  9. Pilih Buat Penyeimbang Beban.

Langkah 2: Buat layanan titik akhir Load Balancer Gateway

Gunakan prosedur berikut untuk membuat layanan endpoint menggunakan Load Balancer Gateway Anda.

Untuk membuat layanan titik akhir Load Balancer Gateway

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Layanan titik akhir.

  3. Pilih Buat layanan endpoint dan lakukan hal berikut:

    1. Untuk jenis Load balancer, pilih Gateway.

    2. Untuk penyeimbang beban yang tersedia, pilih Load Balancer Gateway Anda.

    3. Untuk Memerlukan penerimaan untuk titik akhir, pilih Penerimaan yang diperlukan untuk menerima permintaan koneksi ke layanan Anda secara manual. Jika tidak, mereka secara otomatis diterima.

    4. Untuk jenis alamat IP yang Didukung, lakukan salah satu hal berikut:

      • Pilih IPv4— Aktifkan layanan endpoint untuk menerima IPv4 permintaan.

      • Pilih IPv6— Aktifkan layanan endpoint untuk menerima IPv6 permintaan.

      • Pilih IPv4dan IPv6— Aktifkan layanan endpoint untuk menerima keduanya IPv4 dan IPv6 permintaan.

    5. (Opsional) Untuk menambahkan tag, pilih Tambahkan tag baru dan masukkan kunci tag dan nilai tag.

    6. Pilih Buat. Perhatikan nama layanan; Anda akan membutuhkannya saat membuat titik akhir.

  4. Pilih layanan endpoint baru dan pilih Actions, Allow principals. Masukkan ARNs konsumen layanan yang diizinkan untuk membuat titik akhir untuk layanan Anda. Konsumen layanan dapat menjadi pengguna, IAM peran, atau Akun AWS. Pilih Izinkan prinsipal.

Langkah 3: Buat titik akhir Load Balancer Gateway

Gunakan prosedur berikut untuk membuat titik akhir Load Balancer Gateway yang terhubung ke layanan titik akhir Load Balancer Gateway Anda. Titik akhir Load Balancer Gateway bersifat zonal. Kami menyarankan Anda membuat satu titik akhir Load Balancer Gateway per zona. Untuk informasi selengkapnya, lihat Mengakses peralatan virtual melalui AWS PrivateLinkAWS PrivateLink Panduan.

Untuk membuat titik akhir Load Balancer Gateway

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Titik akhir.

  3. Pilih Buat titik akhir dan lakukan hal berikut:

    1. Untuk kategori Layanan, pilih Layanan endpoint lainnya.

    2. Untuk nama Layanan, masukkan nama layanan yang Anda catat sebelumnya, lalu pilih Verifikasi layanan.

    3. Untuk VPC, pilih konsumen layananVPC.

    4. Untuk Subnet, pilih subnet untuk titik akhir Gateway Load Balancer.

    5. Untuk jenis alamat IP, pilih dari opsi berikut:

      • IPv4— Tetapkan IPv4 alamat ke antarmuka jaringan titik akhir Anda. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang IPv4 alamat.

      • IPv6— Tetapkan IPv6 alamat ke antarmuka jaringan titik akhir Anda. Opsi ini didukung hanya jika semua subnet yang dipilih IPv6 hanya subnet.

      • Dualstack — Tetapkan keduanya IPv4 dan IPv6 alamat ke antarmuka jaringan endpoint Anda. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang keduanya IPv4 dan IPv6 alamat.

    6. (Opsional) Untuk menambahkan tag, pilih Tambahkan tag baru dan masukkan kunci tag dan nilai tag.

    7. Pilih Buat Titik Akhir. Status awal adalah pending acceptance.

Untuk menerima permintaan koneksi titik akhir, gunakan prosedur berikut.

  1. Di panel navigasi, pilih Layanan titik akhir.

  2. Pilih layanan endpoint.

  3. Dari tab Koneksi titik akhir, pilih koneksi titik akhir.

  4. Untuk menerima permintaan koneksi, pilih Tindakan, Terima permintaan koneksi titik akhir. Saat diminta konfirmasi, masukkan accept lalu pilih Terima.

Langkah 4: Konfigurasikan perutean

Konfigurasikan tabel rute untuk konsumen layanan VPC sebagai berikut. Hal ini memungkinkan peralatan keamanan untuk melakukan pemeriksaan keamanan pada lalu lintas masuk yang ditujukan untuk server aplikasi.

Untuk mengkonfigurasi routing

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Tabel rute.

  3. Pilih tabel rute untuk gateway internet dan lakukan hal berikut:

    1. Pilih Tindakan, Sunting rute.

    2. Pilih Tambahkan rute. Untuk Tujuan, masukkan IPv4 CIDR blok subnet untuk server aplikasi. Untuk Target, pilih VPC titik akhir.

    3. Jika Anda mendukungIPv6, pilih Tambahkan rute. Untuk Tujuan, masukkan IPv6 CIDR blok subnet untuk server aplikasi. Untuk Target, pilih VPC titik akhir.

    4. Pilih Simpan perubahan.

  4. Pilih tabel rute untuk subnet dengan server aplikasi dan lakukan hal berikut:

    1. Pilih Tindakan, Sunting rute.

    2. Pilih Tambahkan rute. Untuk Tujuan, masukkan0.0.0.0/0. Untuk Target, pilih VPC titik akhir.

    3. Jika Anda mendukungIPv6, pilih Tambahkan rute. Untuk Tujuan, masukkan::/0. Untuk Target, pilih VPC titik akhir.

    4. Pilih Simpan perubahan.

  5. Pilih tabel rute untuk subnet dengan titik akhir Gateway Load Balancer, dan lakukan hal berikut:

    1. Pilih Tindakan, Sunting rute.

    2. Pilih Tambahkan rute. Untuk Tujuan, masukkan0.0.0.0/0. Untuk Target, pilih gateway internet.

    3. Jika Anda mendukungIPv6, pilih Tambahkan rute. Untuk Tujuan, masukkan::/0. Untuk Target, pilih gateway internet.

    4. Pilih Simpan perubahan.