Como começar a usar Gateway Load Balancers - Elastic Load Balancing
Visão geralPré-requisitosEtapa 1: Crie um Gateway Load BalancerEtapa 2: Criar um serviço de endpoint do Gateway Load BalancerEtapa 3: Criar um endpoint do Gateway Load BalancerEtapa 4: Configurar o roteamento

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como começar a usar Gateway Load Balancers

Os Gateway Load Balancers facilitam a implementação, a escala e o gerenciamento de dispositivos virtuais de terceiros, como dispositivos de segurança.

Neste tutorial, implementaremos um sistema de inspeção usando um Gateway Load Balancer e um endpoint de Gateway Load Balancer.

Visão geral

Um endpoint do Gateway Load Balancer é um endpoint da VPC que fornece conectividade privada entre dispositivos virtuais na VPC do provedor de serviços e servidores de aplicações na VPC do consumidor de serviços. O Gateway Load Balancer é implementado na mesma VPC dos dispositivos virtuais. Esses dispositivos são registrados como um grupo de destino para o Gateway Load Balancer.

Os servidores de aplicações são executados em uma sub-rede (sub-rede de destino) na VPC do consumidor de serviços, enquanto o endpoint do Gateway Load Balancer está em outra sub-rede da mesma VPC. Todo o tráfego que entra na VPC do consumidor do serviço pelo gateway da Internet é encaminhado primeiro ao endpoint do Gateway Load Balancer antes de ser encaminhado à sub-rede de destino.

Da mesma forma, todo o tráfego que sai dos servidores da aplicação (sub-rede de destino) é encaminhado primeiro ao endpoint do Gateway Load Balancer antes de ser encaminhado à Internet. O diagrama de rede a seguir é uma representação visual de como um endpoint do Gateway Load Balancer é usado para acessar um serviço de endpoint.

Usar um endpoint do Gateway Load Balancer para acessar um serviço de endpoint

Os itens numerados a seguir destacam e explicam os elementos mostrados na imagem anterior.

Tráfego da Internet para a aplicação (setas azuis):

  1. O tráfego entra na VPC do consumidor do serviço pelo gateway da Internet.

  2. O tráfego é enviado ao endpoint do Gateway Load Balancer, como resultado de um roteamento de entrada.

  3. O tráfego é enviado ao Gateway Load Balancer, que distribui o tráfego para um dos dispositivos de segurança.

  4. O tráfego é reencaminhado ao endpoint do Gateway Load Balancer após a inspeção pelo dispositivo de segurança.

  5. O tráfego é enviado aos servidores de aplicação (sub-rede de destino).

Tráfego da aplicação para a Internet (setas laranjas):

  1. O tráfego é enviado ao endpoint do Gateway Load Balancer como resultado da rota padrão configurada na sub-rede do servidor de aplicação.

  2. O tráfego é enviado ao Gateway Load Balancer, que distribui o tráfego para um dos dispositivos de segurança.

  3. O tráfego é reencaminhado ao endpoint do Gateway Load Balancer após a inspeção pelo dispositivo de segurança.

  4. O tráfego é enviado ao gateway da Internet com base na configuração da tabela de rotas.

  5. O tráfego é reencaminhado à Internet.

Roteamento

A tabela de rotas do gateway da Internet deve conter entrada que roteia o tráfego destinado aos servidores de aplicações ao endpoint do Gateway Load Balancer. Para especificar o endpoint do Gateway Load Balancer, use o ID do endpoint da VPC. O exemplo a seguir mostra as rotas de uma configuração dualstack.

Destination (Destino) Destino
CIDR IPv4 da VPC Local
CIDR IPv6 da VPC Local
CIDR IPv4 da sub-rede 1 vpc-endpoint-id
CIDR IPv6 da sub-rede 1 vpc-endpoint-id

A tabela de rotas para a sub–rede com os servidores de aplicações deve conter entradas que roteiem todo o tráfego dos servidores de aplicações ao endpoint do Gateway Load Balancer.

Destination (Destino) Destino
CIDR IPv4 da VPC Local
CIDR IPv6 da VPC Local
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id

A tabela de rotas para a sub-rede com o endpoint do Gateway Load Balancer deve rotear o tráfego que retorna da inspeção ao destino final. Para o tráfego proveniente da Internet, a rota local garante que o tráfego chegará aos servidores de aplicações. Para o tráfego proveniente dos servidores de aplicações, adicione entradas que roteiam todo o tráfego ao gateway da Internet.

Destination (Destino) Destino
CIDR IPv4 da VPC Local
CIDR IPv6 da VPC Local
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id

Pré-requisitos

  • Certifique-se de que a VPC consumidora de serviços tenha pelo menos duas sub-redes para cada zona de disponibilidade que contém servidores de aplicativos. Uma sub-rede é destinada aos servidores da aplicação, e a outra é destinada ao endpoint do Gateway Load Balancer.

  • O Gateway Load Balancer e os destinos podem estar na mesma sub-rede.

  • Você não pode usar uma sub-rede compartilhada de outra conta para implantar o Gateway Load Balancer.

  • Inicie pelo menos uma instância do dispositivo de segurança em cada sub-rede do dispositivo de segurança na VPC do provedor de serviços. Os grupos de segurança para essas instâncias devem permitir tráfego UDP na porta 6081.

Etapa 1: Crie um Gateway Load Balancer

Use o procedimento a seguir para criar seu balanceador de carga, receptor e grupo de destino.

Como criar o balanceador de carga, o receptor e o grupo de destino usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em Load Balancing, selecione Load Balancers.

  3. Selecione Criar um balanceador de carga.

  4. Em Gateway Load Balancer, escolha Criar.

  5. Configuração básica

    1. Em Load balancer name (Nome do balanceador de carga), insira um nome para o seu balanceador de carga.

    2. No Tipo de endereço IP, selecione IPv4 para oferecer suporte somente aos endereços IPv4 ou Dualstack para oferecer suporte aos endereços IPv4 e IPv6.

  6. Mapeamento de rede

    1. Para VPC, selecione a VPC provedora de serviços.

    2. Para Mapeamentos, selecione todas as zonas de disponibilidade nas quais você iniciou as instâncias do dispositivo de segurança e uma sub-rede por zona de disponibilidade.

  7. Roteamento de receptores de IP

    1. Em Ação padrão, selecione um grupo de destino existente para receber tráfego. Esse grupo de destino deve usar o protocolo GENEVE.

      Se você não tiver um grupo de destino, escolha Criar grupo de destino, que abre uma nova guia no seu navegador. Escolha um tipo de destino, insira um nome para o grupo de destino e mantenha o protocolo GENEVE. Selecione a VPC com suas instâncias do dispositivo de segurança. Modifique as configurações da verificação de integridade conforme necessário e adicione as tags necessárias. Escolha Próximo. Você pode registrar suas instâncias do dispositivo de segurança com o grupo de destino agora ou depois de concluir este procedimento. Escolha Criar grupo de destino e, em seguida, retorne à guia anterior do navegador.

    2. (Opcional) Expanda as Tags do receptor e adicione as tags necessárias.

  8. (Opcional) Expanda as Tags do balanceador de carga e adicione as tags necessárias.

  9. Selecione Criar um balanceador de carga.

Etapa 2: Criar um serviço de endpoint do Gateway Load Balancer

Use o seguinte procedimento para criar um serviço de endpoint usando um Gateway Load Balancer.

Para criar um serviço de endpoint do Gateway Load Balancer

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoint Services (Serviços do endpoint).

  3. Escolha Criar serviço de endpoint e proceda da seguinte maneira:

    1. Em Load balancer type (Tipo de load balancer), escolha Gateway.

    2. Em Available load balancers (Balanceadores de carga disponíveis), selecione seu Gateway Load Balancer.

    3. Em Exigir aceitação para o endpoint, selecione Aceitação obrigatória para aceitar as solicitações de conexão ao serviço manualmente. Caso contrário, elas serão aceitas automaticamente.

    4. Em Supported IP address types (Tipos de endereço IP compatíveis), siga um destes procedimentos:

      • Selecionar IPv4: habilite o serviço de endpoint para aceitar solicitações IPv4.

      • Selecionar IPv6: habilite o serviço de endpoint para aceitar solicitações IPv6.

      • Selecionar IPv4 e IPv6: habilite o serviço de endpoint para aceitar solicitações IPv4 e IPv6.

    5. (Opcional) Para adicionar uma etiqueta, escolha Add new tag (Adicionar nova etiqueta) e insira a chave e o valor da etiqueta.

    6. Escolha Criar. Você precisará do nome do serviço para criar o endpoint.

  4. Selecione o novo serviço de endpoint e escolha Ações, Permitir entidades principais. Insira os ARNs dos consumidores de serviço que são permitidos para criar um endpoint para seu serviço. Um consumidor de serviço pode ser um usuário, perfil do IAM ou Conta da AWS. Escolha Allow principals (Permitir principals).

Etapa 3: Criar um endpoint do Gateway Load Balancer

Use o seguinte procedimento para criar um endpoint do Gateway Load Balancer que se conecte ao serviço de endpoint do Gateway Load Balancer. Endpoints do Gateway Load Balancer são zonais. Recomendamos que você crie um endpoint do Gateway Load Balancer por zona. Para obter mais informações, consulte Acessar dispositivos virtuais pelo AWS PrivateLink no Guia do AWS PrivateLink.

Para criar um endpoint do Gateway Load Balancer

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints.

  3. Escolha Criar endpoint e proceda da seguinte maneira:

    1. Em Service category (Categoria de serviço), escolha Other endpoint services (Outros serviços de endpoint).

    2. Em Nome do serviço, insira o nome do serviço e escolha Verificar serviço.

    3. Para VPC, selecione a VPC consumidora de serviços.

    4. Para Sub-redes, selecione uma sub-rede para o endpoint do Gateway Load Balancer.

    5. Em IP address type (Tipo de endereço IP), escolha uma das seguintes opções:

      • IPv4: atribua endereços IPv4 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas tiverem intervalos de endereços IPv4.

      • IPv6: atribua endereços IPv6 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas forem sub-redes IPv6 apenas.

      • Dualstack: atribua endereços IPv4 e IPv6 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas tiverem intervalos de endereços IPv4 e IPv6.

    6. (Opcional) Para adicionar uma etiqueta, escolha Add new tag (Adicionar nova etiqueta) e insira a chave e o valor da etiqueta.

    7. Escolha Criar endpoint. O status inicial é pending acceptance.

Para aceitar a solicitação de conexão do endpoint, use este procedimento.

  1. No painel de navegação, escolha Endpoint Services (Serviços do endpoint).

  2. Selecione o serviço de endpoint.

  3. Na guia Endpoint connections (Conexões de endpoint), selecione a conexão de endpoint.

  4. Para aceitar a solicitação de conexão, escolha Actions (Ações), Accept endpoint connection request (Aceitar solicitação de conexão de endpoint). Quando a confirmação for solicitada, insira accept e escolha Accept (Aceitar).

Etapa 4: Configurar o roteamento

Configure as tabelas de rotas para a VPC do consumidor de serviço conforme a seguir. Isso permite que os dispositivos de segurança realizem a inspeção de segurança do tráfego de entrada destinado aos servidores de aplicações.

Para configurar o roteamento

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Route tables.

  3. Selecione a tabela de rotas do gateway da Internet e faça o seguinte:

    1. Selecione Actions (Ações), Edit routes (Editar rotas).

    2. Escolha Add route (Adicionar rota). Em Destination (Destino), insira o bloco CIDR IPv4 da sub-rede para os servidores de aplicações. Em Target (Destino), selecione o endpoint da VPC.

    3. Se você oferece suporte a IPv6, escolha Add route (Adicionar rota). Em Destination (Destino), insira o bloco CIDR IPv6 da sub-rede para os servidores de aplicações. Em Target (Destino), selecione o endpoint da VPC.

    4. Escolha Salvar alterações.

  4. Selecione a tabela de rotas para a sub-rede com os servidores de aplicações e faça o seguinte:

    1. Selecione Actions (Ações), Edit routes (Editar rotas).

    2. Escolha Add route (Adicionar rota). Em Destination, insira 0.0.0.0/0. Em Target (Destino), selecione o endpoint da VPC.

    3. Se você oferece suporte a IPv6, escolha Add route (Adicionar rota). Em Destination, insira ::/0. Em Target (Destino), selecione o endpoint da VPC.

    4. Escolha Salvar alterações.

  5. Selecione a tabela de rotas para a sub-rede com o endpoint do Gateway Load Balancer e faça o seguinte:

    1. Selecione Actions (Ações), Edit routes (Editar rotas).

    2. Escolha Add route (Adicionar rota). Em Destination, insira 0.0.0.0/0. Em Target (Destino), selecione o gateway da Internet.

    3. Se você oferece suporte a IPv6, escolha Add route (Adicionar rota). Em Destination, insira ::/0. Em Target (Destino), selecione o gateway da Internet.

    4. Escolha Salvar alterações.