一、概述
AWS中国区发布AWS 网关负载均衡服务,本文档在AWS 宁夏区完成验证网关负载均衡服务集成FortiGate扩展安全检查性能应用实践。
AWS中运行着关键应用程序,FortiGate安全网关对进出AWS环境的流量进行安全检查,单个虚拟实例或主备冗余虚拟实例处理能力有限,容易成为网络性能瓶颈。
AWS 网关负载均衡(GWLB)为AWS提供的托管型4层负载均衡服务,AWS网关负载均衡将互联网IGW流量或虚拟私有网关VGW流量负载分担到多个安全网关,扩展互联网出口和VPC互连网络安全处理性能,并且保障FortiGate安全网关的容错能力和扩展性。
二、AWS 网关负载均衡工作原理
AWS GWLB常用于两种场景,IGW互联出口南北向流量安全检查 和 VPC间东西向安全流量检查。无论是哪种应用场景,通过修改VPC路由表路由条目,调整数据转发路径,使需要安全检查的子网流量下一跳指向GWLB,从而使流量穿过安全网关进行安全检查或安全控制。GWLB和Fortigate安全网关之间的流量使用GENEVE协议封装,数据端口UDP 6081。
GWLB部件:
- Customer VPC:应用程序所在VPC
- GWLB endpoint: 放置在custmer VPC的一块虚拟网卡,作为路由下一跳,需要冗余在每个AZ有一个GWLB endpoint。
- Ingress router: 绑定IGW的Internet入口路由表
- GWLB:放置在安全区的4层负载均衡服务,每个可用区会创一个网关并且获得一个地址,用于与Fortigate建立GENEVE 隧道。
- GWLB private link: Customer VPC和 Security VPC间不需要VPC peer, GWLB endpoint 通过GWLB private link连接到GWLB负载均衡
入向流量转发流程(红色路径):
- 入口流量进入IGW ingress 路由表
- Ingress 路由表把业务服务器网关路由下一跳指向GWLB endpoint虚拟网卡
- GWLB endpoint转发数据到GWLB, GWLB 把流量负载到fortigate,fortigate把流量回送到GWLB.
- GWLB 把数据回送到GWLB endpoint, GWLB endpoint转发数据到应用实例。
出向流量转发流程(蓝色路径):
- 应用实例路由表下一跳GWLB endpoint。
- GWLB endpoint转发数据到GWLB, GWLB 把流量负载到fortigate,fortigate把流量回送到GWLB,GWLB 把数据回送到GWLB endpoint。
- GWLB endpoint 转发到IGW
- IGW把出向流量转发出互联网
三、FortiGate集成GWLB 测试
本测试为手动配置操作步骤,可通过AWS命令行或CloudFormation 快速部署,防火墙扩容可结合弹性扩容服务自动扩展GWLB 负载目标。
(测试拓朴)
VPC配置
- 创建两个VPC
App-vpc 10.0.0.0/16
SEC-VPC 10.1.0.0/16
- 创建子网
APP-VPC 4个子网
| sub1-z1-gwlb |
10.0.1.0/24文章来源:https://www.toymoban.com/news/detail-454492.html |
可用区1 GWLB endpoint 子网文章来源地址https://www.toymoban.com/news/detail-454492.html |
到了这里,关于基于AWS GWLB实现安全检测的线性扩展的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
