本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Application Load Balancer 的集成
您可以通过与其他几项 AWS 服务集成来优化 Application Load Balancer 架构,从而增强应用程序的性能、安全性和可用性。
Amazon 应用程序恢复控制器 (ARC)
Amazon 应用程序恢复控制器 (ARC) 可帮助您为正在运行的应用程序做好准备并完成更快的恢复操作 AWS。区域移位和区域自动移位是 Amazon 应用程序恢复控制器 () 的功能。ARC
通过区域切换,您只需一个操作即可将流量从受损的可用区转移出去。这样,您就可以继续从 AWS 区域中的其他运行状况良好的可用区运行。
使用 zonal autoshift,您可以授权 AWS 在活动期间代表您从可用区域转移应用程序的资源流量,以帮助缩短恢复时间。 AWS 当内部监控显示存在可能影响客户的可用区域受损时,将启动自动换档。 AWS 启动自动切换时,您为区域自动切换配置的资源的应用程序流量开始从可用区转移出去。
当您启动可用区转移时,负载均衡器会停止向受影响的可用区发送资源的新流量。ARC立即创建区域偏移。但是,可用区中正在进行的现有连接也可能需要短暂的时间才能结束,具体取决于客户端行为和连接重用情况。根据您的DNS设置和其他因素,现有连接可以在几分钟内完成,或者可能需要更长的时间。有关更多信息,请参阅 Amazon 应用程序恢复控制器 (ARC) 开发人员指南中的限制客户端与您的终端节点保持连接的时间。
要在网络负载均衡器上使用区域偏移功能,必须将ARC区域偏移集成属性设置为 “启用”。
在启用 Amazon 应用程序恢复控制器 (ARC) 集成并开始使用区域转移之前,请查看以下内容:
-
开启跨区域负载平衡的应用程序负载均衡器不支持区域移动。开启或关闭跨区域负载平衡的网络负载均衡器支持区域移动。
-
只能为单个可用区中的特定负载均衡器启动可用区转移。无法为多个可用区启动可用区转移。
-
AWS DNS当多个基础设施问题影响服务时,主动删除区域负载平衡器 IP 地址。在开始可用区转移之前,请务必检查当前的可用区容量。如果您的负载均衡器已关闭跨可用区负载均衡,而您使用可用区转移来删除可用区负载均衡器 IP 地址,则受可用区转移影响的可用区也会失去目标容量。
-
当应用程序负载均衡器是网络负载均衡器的目标时,请始终从网络负载均衡器启动可用区转移。如果从应用程序负载均衡器启动可用区转移,则网络负载均衡器将不会识别转移,并继续向应用程序负载均衡器发送流量。
有关更多信息,请参阅《Amazon 应用程序恢复控制器 (ARC) 开发人员指南》ARC中的区域转移最佳实践。
亚马逊 CloudFront + AWS WAF
Amazon CloudFront 是一项网络服务,可帮助您提高所使用的应用程序的性能、可用性和安全性 AWS。 CloudFront 充当使用应用程序负载均衡器的 Web 应用程序的分布式单一入口点。它可以扩展应用程序负载均衡器的全球覆盖范围,使其能够从附近的边缘位置高效地为用户提供服务,优化内容交付并减少全球用户的延迟。这些边缘位置的自动内容缓存可显著减少Application Load Balancer的负载,从而提高其性能和可扩展性。
Elastic Load Balancing 控制台中提供的一键式集成可创建具有推荐 AWS WAF 安全保护的 CloudFront 分配,并将其关联到您的应用程序负载均衡器。在到达您的负载均衡器之前,这些 AWS WAF 保护措施会阻止常见的 Web 漏洞。您可以从控制台中负载均衡器的 “集成” 选项卡访问该 CloudFront 分配及其相应的安全控制面板。有关更多信息,请参阅《亚马逊 CloudFront 开发者指南》中的 “管理 AWS WAF CloudFront 安全控制面板” 和 aws.ama zon.com/blogs 上的 “ CloudFront 安全控制面板,统一CDN的安全体验” 简介
作为安全最佳实践,请将面向 Internet 的应用程序负载均衡器的安全组配置为仅允许来自 AWS托管前缀列表的入站流量 CloudFront,并删除任何其他入站规则。有关更多信息,请参阅《Amazon CloudFront 开发者指南》中的使用 CloudFront 托管前缀列表、配置 CloudFront 为向请求添加HTTP自定义标头和将 Application Load Balancer 配置为仅转发包含特定标头的请求 >。
注意
CloudFront 仅支持美国东部(弗吉尼亚北部)us-east-1 区域的ACM证书。如果您的 Application Load Balancer 在除 us-east-1 以外的区域配置了使用ACM证书的HTTPS侦听器,则需要将源连接HTTPS从更改 CloudFront ACM为,或者在美国东部(弗吉尼亚北部)区域配置证书并将其附加HTTP到您的分配中。 CloudFront
AWS Global Accelerator
要优化应用程序的可用性、性能和安全性,请为负载均衡器创建加速器。加速器将 AWS 全球网络上的流量引导到静态 IP 地址,这些地址在离客户端最近的区域中充当固定端点。 AWS Global Accelerator 受 Shield Standard 保护,该标准可最大限度地减少应用程序停机时间和DDoS攻击延迟。
有关更多信息,请参阅AWS Global Accelerator 开发人员指南中的在创建负载均衡器时添加加速器。
AWS Config
要优化负载均衡器的监控和合规性,请进行设置 AWS Config。 AWS Config 提供了您 AWS 账户中 AWS 资源配置的详细视图。这包括资源如何相互关联,以及它们过去是如何配置的,以便您可以看到配置和关系如何随着时间的推移而变化。 AWS Config 简化审计、合规和故障排除。
有关更多信息,请参阅什么是 AWS Config? 在《AWS Config 开发人员指南》中。
AWS WAF
您可以将 Application Load Balancer AWS WAF 与 Application Load Balancer 配合使用,根据网络访问控制列表 (WebACL) 中的规则允许或阻止请求。
默认情况下,如果负载均衡器无法从中获得响应 AWS WAF,则会返回 HTTP 500 错误,并且不会转发请求。如果您需要负载均衡器即使无法联系目标也能将请求转发到目标 AWS WAF,则可以启用 AWS WAF 失效打开。
预定义网页 ACLs
启用 AWS WAF 集成后,您可以选择使用预定义的规则自动创建新网站ACL。预定义的网络ACL包括三个 AWS 托管规则,可针对最常见的安全威胁提供保护。
-
AWSManagedRulesAmazonIpReputationList‐ Amazon IP 信誉列表规则组会阻止通常与机器人或其他威胁关联的 IP 地址。有关更多信息,请参阅《AWS WAF 开发人员指南》中的 Amazon IP reputation list managed rule group。 -
AWSManagedRulesCommonRuleSet-核心规则集 (CRS) 规则组提供保护,防止利用各种漏洞,包括OWASP出版物(例如OWASP排名前十的漏洞)中描述的一些高风险漏洞和常见漏洞。有关更多信息,请参阅《AWS WAF 开发人员指南》中的核心规则集 (CRS) 托管规则组。 -
AWSManagedRulesKnownBadInputsRuleSet‐ 已知错误输入规则组阻止请求模式,这些模式确认无效且与漏洞攻击或发现相关联。有关更多信息,请参阅《AWS WAF 开发人员指南》中的 Known bad inputs managed rule group。
有关更多信息,请参阅《AWS WAF 开发人员指南》ACLs AWS WAF中的使用 Web。
