通過(guò)GWLB快速實(shí)現(xiàn)IPv4流量的安全檢測(cè)
如果您需要配置、擴(kuò)展和管理第三方網(wǎng)絡(luò)虛擬設(shè)備,如防火墻、入侵檢測(cè)系統(tǒng)等,可以使用網(wǎng)關(guān)型負(fù)載均衡 GWLB(Gateway Load Balancer)。本文將介紹如何快速配置GWLB,并配置相應(yīng)的網(wǎng)關(guān)型負(fù)載均衡終端節(jié)點(diǎn)GWLBe,以構(gòu)建一個(gè)可以通過(guò)GWLB快速實(shí)現(xiàn)IPv4流量的安全檢測(cè)系統(tǒng)。
場(chǎng)景示例
某企業(yè)為了提升業(yè)務(wù)安全性和可靠性,需要將公網(wǎng)IPv4訪問(wèn)流量路由至網(wǎng)絡(luò)虛擬設(shè)備進(jìn)行安全檢測(cè),再轉(zhuǎn)發(fā)到應(yīng)用服務(wù)器進(jìn)行處理。
企業(yè)可以借助GWLB管理網(wǎng)絡(luò)虛擬設(shè)備并且確保流量在被分發(fā)到應(yīng)用服務(wù)器前經(jīng)過(guò)嚴(yán)格的檢測(cè)和處理,本文以下圖場(chǎng)景為例,企業(yè)使用阿里云賬號(hào)A在華北6(烏蘭察布)地域創(chuàng)建業(yè)務(wù)VPC和安全VPC。
業(yè)務(wù)VPC負(fù)責(zé)運(yùn)行應(yīng)用系統(tǒng),且具備IPv4網(wǎng)關(guān),將訪問(wèn)公網(wǎng)的流量引流至網(wǎng)絡(luò)虛擬設(shè)備。
在業(yè)務(wù)VPC中創(chuàng)建應(yīng)用服務(wù)器所在子網(wǎng)的交換機(jī)VSW01和GWLBe所在子網(wǎng)的交換機(jī)VSW02,在交換機(jī)VSW01中部署應(yīng)用服務(wù)器ECS01,ECS01中部署可訪問(wèn)的應(yīng)用服務(wù),在交換機(jī)VSW02中創(chuàng)建網(wǎng)關(guān)型負(fù)載均衡終端節(jié)點(diǎn)GWLBe。
安全VPC負(fù)責(zé)運(yùn)行網(wǎng)絡(luò)虛擬設(shè)備。
在安全VPC中創(chuàng)建GWLB,并在后端服務(wù)器組掛載網(wǎng)絡(luò)虛擬設(shè)備,同時(shí)在安全VPC中創(chuàng)建終端節(jié)點(diǎn)服務(wù),將GWLB實(shí)例添加為服務(wù)資源。
GWLBe與終端節(jié)點(diǎn)服務(wù)建立連接且狀態(tài)正常時(shí),公網(wǎng)訪問(wèn)流量即可被路由至網(wǎng)絡(luò)虛擬設(shè)備。
IPv4業(yè)務(wù)從客戶端到應(yīng)用服務(wù)器入方向工作流程(黑色箭頭) | IPv4業(yè)務(wù)從應(yīng)用服務(wù)器到客戶端出方向工作流程(藍(lán)色箭頭) |
|
|
使用限制
啟動(dòng)至少一個(gè)安全設(shè)備實(shí)例。
后端服務(wù)器的安全組必須放通UDP協(xié)議類(lèi)型和6081端口。
創(chuàng)建終端節(jié)點(diǎn)服務(wù)時(shí),選擇地域與可用區(qū)需要同時(shí)支持私網(wǎng)連接和GWLB實(shí)例的地域與可用區(qū)。關(guān)于私網(wǎng)連接和GWLB實(shí)例支持的地域,請(qǐng)參見(jiàn)支持私網(wǎng)連接的地域和可用區(qū)和GWLB支持的地域與可用區(qū)。
網(wǎng)關(guān)型負(fù)載均衡終端節(jié)點(diǎn)部署的可用區(qū)必須是終端節(jié)點(diǎn)服務(wù)資源部署的可用區(qū)的子集,才可以建立連接。
前提條件
您已創(chuàng)建了業(yè)務(wù)VPC和安全VPC,在業(yè)務(wù)VPC的可用區(qū)B創(chuàng)建了交換機(jī)VSW01和VSW02,在安全VPC的可用區(qū)B創(chuàng)建了交換機(jī)VSW03。請(qǐng)參見(jiàn)創(chuàng)建專有網(wǎng)絡(luò)和交換機(jī)。
說(shuō)明交換機(jī)VSW01劃分的子網(wǎng)用于部署應(yīng)用服務(wù)器,交換機(jī)VSW02劃分的子網(wǎng)用于部署GWLBe,交換機(jī)VSW03劃分的子網(wǎng)用于部署GWLB。
您已創(chuàng)建并激活了IPv4網(wǎng)關(guān)并關(guān)聯(lián)業(yè)務(wù)VPC,請(qǐng)參見(jiàn)創(chuàng)建和管理IPv4網(wǎng)關(guān)。
您已創(chuàng)建IPv4網(wǎng)關(guān)的路由表、交換機(jī)VSW01的路由表和VSW02的路由表,請(qǐng)參見(jiàn)創(chuàng)建和管理路由表。
您已在業(yè)務(wù)VPC中創(chuàng)建ECS實(shí)例ECS01,且ECS01中部署了應(yīng)用服務(wù),如果ECS01實(shí)例需要進(jìn)行公網(wǎng)通信,必須分配公網(wǎng)IP;在安全VPC的可用區(qū)B中創(chuàng)建ECS實(shí)例ECS02和ECS03,且ECS02和ECS03分別部署了網(wǎng)絡(luò)虛擬設(shè)備的鏡像。
關(guān)于創(chuàng)建ECS實(shí)例,請(qǐng)參見(jiàn)自定義購(gòu)買(mǎi)實(shí)例。
關(guān)于部署網(wǎng)絡(luò)虛擬設(shè)備鏡像,請(qǐng)參見(jiàn)使用實(shí)例創(chuàng)建自定義鏡像。
您已經(jīng)給ECS01、ECS02和ECS03創(chuàng)建了安全組。您可以根據(jù)自己的實(shí)際業(yè)務(wù)和安全要求配置安全組規(guī)則。請(qǐng)參見(jiàn)創(chuàng)建安全組。
配置步驟
步驟一:創(chuàng)建GWLB實(shí)例
實(shí)例是一個(gè)負(fù)載均衡服務(wù)實(shí)體,您需要先創(chuàng)建GWLB實(shí)例。
在頂部菜單欄,選擇GWLB所在的地域。
在實(shí)例頁(yè)面,單擊創(chuàng)建網(wǎng)關(guān)型負(fù)載均衡。
在網(wǎng)關(guān)型負(fù)載均衡購(gòu)買(mǎi)頁(yè)面,完成以下配置。
此處僅列出和本文強(qiáng)相關(guān)的配置項(xiàng),其他未列出的配置項(xiàng)使用默認(rèn)值。關(guān)于參數(shù)的更多信息,請(qǐng)參見(jiàn)創(chuàng)建和管理GWLB實(shí)例。
配置
說(shuō)明
實(shí)例名稱
輸入實(shí)例名稱。
專有網(wǎng)絡(luò)
選擇實(shí)例所屬的安全VPC。
地域和可用區(qū)
選擇實(shí)例所屬的地域。本文選擇華北6(烏蘭察布)。
可用區(qū)
至少選擇1個(gè)可用區(qū)。本文選擇烏蘭察布 可用區(qū)B及該可用區(qū)下的交換機(jī)VSW03。
協(xié)議版本
選擇實(shí)例的協(xié)議版本。本文選擇IPv4。
服務(wù)關(guān)聯(lián)角色
首次創(chuàng)建網(wǎng)關(guān)型負(fù)載均衡實(shí)例時(shí),需要單擊創(chuàng)建服務(wù)關(guān)聯(lián)角色,創(chuàng)建一個(gè)名稱為AliyunServiceRoleForGwlb的服務(wù)關(guān)聯(lián)角色。
說(shuō)明該參數(shù)僅在首次創(chuàng)建GWLB時(shí)展示。
單擊立即購(gòu)買(mǎi),然后根據(jù)控制臺(tái)提示完成實(shí)例開(kāi)通。
返回實(shí)例頁(yè)面,選擇對(duì)應(yīng)的地域即可看到新建的實(shí)例。
步驟二:創(chuàng)建后端服務(wù)器組
您需要?jiǎng)?chuàng)建服務(wù)器組并添加后端服務(wù)器來(lái)接受GWLB轉(zhuǎn)發(fā)的客戶端請(qǐng)求。
在左側(cè)導(dǎo)航欄,選擇。
在服務(wù)器組頁(yè)面,單擊創(chuàng)建服務(wù)器組。
在創(chuàng)建服務(wù)器組對(duì)話框配置服務(wù)器組相關(guān)的參數(shù),然后單擊創(chuàng)建。
此處僅列出和本文強(qiáng)相關(guān)的配置項(xiàng),其他未列出的配置項(xiàng)使用默認(rèn)值。關(guān)于參數(shù)的更多信息,請(qǐng)參見(jiàn)創(chuàng)建和管理服務(wù)器組。
參數(shù)
描述
服務(wù)器組類(lèi)型
選擇一種服務(wù)器組類(lèi)型:本文選擇服務(wù)器類(lèi)型。
服務(wù)器組名稱
輸入服務(wù)器組名稱。
VPC
從VPC下拉列表中選擇本文ECS實(shí)例所屬的安全VPC。
說(shuō)明確保您選擇的VPC與創(chuàng)建GWLB實(shí)例時(shí)選擇的VPC相同。
選擇調(diào)度算法
選擇一種調(diào)度算法,本文選擇五元組哈希。
健康檢查方法
選擇健康檢查方法或關(guān)閉健康檢查。本文選擇TCP。
健康檢查端口
輸入健康檢查端口,本文配置80。
在服務(wù)器組創(chuàng)建成功對(duì)話框單擊添加后端服務(wù)器。
在后端服務(wù)器頁(yè)簽單擊添加后端服務(wù)器。
在添加后端服務(wù)器面板,選擇服務(wù)器類(lèi)型。
本文服務(wù)器類(lèi)型配置為云服務(wù)器ECS/彈性網(wǎng)卡ENI。
選擇已創(chuàng)建的ECS02和ECS03實(shí)例,單擊確定。
說(shuō)明本文服務(wù)器類(lèi)型配置為云服務(wù)器ECS/彈性網(wǎng)卡ENI。
請(qǐng)確保您已經(jīng)在后端服務(wù)器部署網(wǎng)絡(luò)虛擬設(shè)備的鏡像,并且后端服務(wù)器具備處理Geneve協(xié)議流量的能力。
步驟三:配置監(jiān)聽(tīng)
您需要為實(shí)例配置監(jiān)聽(tīng),并給監(jiān)聽(tīng)關(guān)聯(lián)上后端服務(wù)器組,將所有端口的流量通過(guò)Geneve協(xié)議的方式轉(zhuǎn)發(fā)至后端服務(wù)器。
在左側(cè)導(dǎo)航欄,選擇,單擊實(shí)例ID。
單擊監(jiān)聽(tīng)頁(yè)簽,然后單擊創(chuàng)建IP監(jiān)聽(tīng)。
在創(chuàng)建IP監(jiān)聽(tīng)配置頁(yè)面,選擇服務(wù)器組類(lèi)型,選擇已創(chuàng)建的服務(wù)器組信息。
頁(yè)面顯示已添加的服務(wù)器列表,單擊確定。
步驟四:配置終端節(jié)點(diǎn)服務(wù)
服務(wù)提供方需要通過(guò)終端節(jié)點(diǎn)服務(wù)讓GWLB對(duì)外提供服務(wù)。
在終端節(jié)點(diǎn)服務(wù)頁(yè)面,單擊創(chuàng)建終端節(jié)點(diǎn)服務(wù)。
在創(chuàng)建終端節(jié)點(diǎn)服務(wù)頁(yè)面,根據(jù)以下信息配置終端節(jié)點(diǎn)服務(wù),然后單擊確定創(chuàng)建。
此處僅列舉和本文相關(guān)的配置。
參數(shù)
描述
所屬地域
本文選擇華北6(烏蘭察布)。
服務(wù)資源類(lèi)型
終端節(jié)點(diǎn)服務(wù)下的服務(wù)資源的類(lèi)型。本文選擇網(wǎng)關(guān)型負(fù)載均衡GWLB。
選擇服務(wù)資源
選擇服務(wù)資源的可用區(qū)及可用區(qū)下的服務(wù)資源。
本文可用區(qū)選擇烏蘭察布 可用區(qū)B。可用區(qū)B的服務(wù)資源選擇步驟一:創(chuàng)建GWLB實(shí)例中創(chuàng)建的支持私網(wǎng)連接的GWLB實(shí)例。
網(wǎng)絡(luò)類(lèi)型
本文選擇IPv4。
自動(dòng)接受終端節(jié)點(diǎn)連接
選擇是否自動(dòng)接受終端節(jié)點(diǎn)的連接請(qǐng)求。本文選擇是。
說(shuō)明此處設(shè)置自動(dòng)接受終端節(jié)點(diǎn)連接,在創(chuàng)建終端節(jié)點(diǎn)后,終端節(jié)點(diǎn)服務(wù)會(huì)自動(dòng)接受終端節(jié)點(diǎn)的連接請(qǐng)求。
服務(wù)付費(fèi)者
本文選擇服務(wù)使用方。
步驟五:配置網(wǎng)關(guān)型負(fù)載均衡終端節(jié)點(diǎn)
服務(wù)使用者需要?jiǎng)?chuàng)建相應(yīng)的GWLBe,從而與終端節(jié)點(diǎn)服務(wù)建立連接。
在終端節(jié)點(diǎn)頁(yè)面,單擊接口終端節(jié)點(diǎn)頁(yè)簽,然后單擊創(chuàng)建終端節(jié)點(diǎn)。
在創(chuàng)建終端節(jié)點(diǎn)頁(yè)面,根據(jù)以下信息配置終端節(jié)點(diǎn),然后單擊確定創(chuàng)建。
此處僅列舉和本文強(qiáng)相關(guān)的配置。
參數(shù)
描述
所屬地域
本文選擇華北6(烏蘭察布)。
節(jié)點(diǎn)名稱
自定義終端節(jié)點(diǎn)的名稱。
終端節(jié)點(diǎn)類(lèi)型
終端節(jié)點(diǎn)選擇的節(jié)點(diǎn)類(lèi)型。本文選擇網(wǎng)關(guān)型負(fù)載均衡終端節(jié)點(diǎn)。
終端節(jié)點(diǎn)服務(wù)
本文先單擊選擇可用服務(wù),然后選擇步驟四:配置終端節(jié)點(diǎn)服務(wù)創(chuàng)建的終端節(jié)點(diǎn)服務(wù)。
專有網(wǎng)絡(luò)
選擇終端節(jié)點(diǎn)所屬的專有網(wǎng)絡(luò)。本文選擇業(yè)務(wù)VPC的ID。
可用區(qū)與交換機(jī)
選擇終端節(jié)點(diǎn)服務(wù)對(duì)應(yīng)的可用區(qū),然后選擇該可用區(qū)內(nèi)的交換機(jī),系統(tǒng)會(huì)自動(dòng)在該交換機(jī)下創(chuàng)建一個(gè)終端節(jié)點(diǎn)網(wǎng)卡。
本文可用區(qū)選擇烏蘭察布 可用區(qū)B并選擇可用區(qū)B內(nèi)的VSW02。
網(wǎng)絡(luò)類(lèi)型
本文選擇IPv4。
說(shuō)明確保終端節(jié)點(diǎn)的連接狀態(tài)是已連接。
步驟六:配置路由
服務(wù)使用者需要配置路由將流量引到GWLBe。
在左側(cè)導(dǎo)航欄,單擊路由表。
在頂部菜單欄,選擇路由表所屬的地域。
在路由表頁(yè)面,單擊目標(biāo)路由表的ID。
說(shuō)明目標(biāo)路由表包含IPv4網(wǎng)關(guān)路由表、VSW01的路由表和VSW02的路由表,請(qǐng)依次打開(kāi)進(jìn)行配置。
在路由表詳情頁(yè)面,在路由條目列表頁(yè)簽,單擊系統(tǒng)路由條目,查看系統(tǒng)路由條目。
系統(tǒng)會(huì)在自定義路由表中自動(dòng)添加以下系統(tǒng)路由:
以路由表所屬VPC內(nèi)的交換機(jī)網(wǎng)段為目標(biāo)網(wǎng)段的路由條目,用于交換機(jī)內(nèi)的云產(chǎn)品通信。
修改系統(tǒng)路由條目:在配置IPv4網(wǎng)關(guān)的路由表時(shí),在頁(yè)簽,找到目標(biāo)系統(tǒng)路由條目,然后在操作列單擊編輯,在編輯路由表?xiàng)l目對(duì)話框,配置以下參數(shù),然后單擊確定。該路由條目會(huì)出現(xiàn)在自定義路由條目中。
配置
說(shuō)明
目標(biāo)網(wǎng)段
顯示轉(zhuǎn)發(fā)流量的目標(biāo)網(wǎng)段。目標(biāo)網(wǎng)段不支持修改。本文為192.168.2.0/24。
名稱
修改路由條目的名稱。
下一跳類(lèi)型
選擇下一跳類(lèi)型。本文為網(wǎng)關(guān)型負(fù)載均衡終端節(jié)點(diǎn)。
網(wǎng)關(guān)型負(fù)載均衡終端節(jié)點(diǎn)
選擇步驟五:配置網(wǎng)關(guān)型負(fù)載均衡終端節(jié)點(diǎn)創(chuàng)建的網(wǎng)關(guān)型負(fù)載均衡終端節(jié)點(diǎn)。
新增自定義路由條目:在配置交換機(jī)的路由表時(shí),單擊自定義路由條目,輸入目標(biāo)網(wǎng)段和下一跳類(lèi)型,單擊確定。
在配置交換機(jī)VSW01的路由表時(shí),本文自定義目標(biāo)網(wǎng)段為0.0.0.0/0,下一跳類(lèi)型為網(wǎng)關(guān)型負(fù)載均衡終端節(jié)點(diǎn)的路由條目。
在配置交換機(jī)VSW02的路由表時(shí),本文自定義目標(biāo)網(wǎng)段為0.0.0.0/0,下一跳類(lèi)型為IPv4網(wǎng)關(guān)的路由條目。
IPv4網(wǎng)關(guān)的路由表配置
IPv4網(wǎng)關(guān)的路由表必須具有將發(fā)往應(yīng)用服務(wù)器的流量路由到GWLBe的條目。本文IPv4網(wǎng)關(guān)的路由表配置如下表所示,僅供參考。
目標(biāo)網(wǎng)段
下一跳類(lèi)型
路由條目類(lèi)型
192.168.5.0/24
local
系統(tǒng)路由條目
192.168.2.0/24
網(wǎng)關(guān)型負(fù)載均衡終端節(jié)點(diǎn)
自定義路由條目
應(yīng)用服務(wù)器所在子網(wǎng)的交換機(jī)VSW01的路由表配置
交換機(jī)VSW01的路由表必須具有將來(lái)自應(yīng)用服務(wù)器的所有流量路由到GWLBe的條目。本文交換機(jī)VSW01的路由表配置如下表所示,僅供參考。
目標(biāo)網(wǎng)段
下一跳類(lèi)型
路由條目類(lèi)型
192.168.2.0/24
local
系統(tǒng)路由條目
192.168.5.0/24
local
系統(tǒng)路由條目
0.0.0.0/0
網(wǎng)關(guān)型負(fù)載均衡終端節(jié)點(diǎn)
自定義路由條目
GWLBe所在子網(wǎng)的交換機(jī)VSW02的路由表配置
交換機(jī)VSW02的路由表必須將從檢查返回的流量路由到最終目的地。對(duì)于來(lái)自互聯(lián)網(wǎng)的流量,本地路由將確保其會(huì)到達(dá)應(yīng)用服務(wù)器。對(duì)于來(lái)自應(yīng)用服務(wù)器的流量,則添加將所有流量路由到IPv4網(wǎng)關(guān)的條目。本文交換機(jī)VSW02的路由表配置如下表所示,僅供參考。
目標(biāo)網(wǎng)段
下一跳類(lèi)型
路由條目類(lèi)型
192.168.2.0/24
local
系統(tǒng)路由條目
192.168.5.0/24
local
系統(tǒng)路由條目
0.0.0.0/0
IPv4網(wǎng)關(guān)
自定義路由條目
步驟七:測(cè)試驗(yàn)證
測(cè)試訪問(wèn)流量連通性
登錄應(yīng)用服務(wù)器ECS01,測(cè)試ECS01對(duì)公網(wǎng)的訪問(wèn),執(zhí)行如下命令:
ping www.aliyun.com
返回報(bào)文顯示應(yīng)用服務(wù)器對(duì)公網(wǎng)訪問(wèn)的具體信息,并保持產(chǎn)生流量一段時(shí)間,ECS01訪問(wèn)公網(wǎng)的流量連通性測(cè)試通過(guò)。
返回報(bào)文如下所示:
測(cè)試流量經(jīng)過(guò)安全檢測(cè)
登錄后端服務(wù)器ECS02或者ECS03,捕獲所有經(jīng)過(guò)端口為6081的數(shù)據(jù)包,執(zhí)行如下命令:
tcpdump -i any port 6081
返回報(bào)文顯示有來(lái)自ECS01的請(qǐng)求和響應(yīng)數(shù)據(jù),實(shí)現(xiàn)了通過(guò)GWLB,將訪問(wèn)流量路由至網(wǎng)絡(luò)虛擬設(shè)備進(jìn)行安全檢測(cè)的過(guò)程。
返回報(bào)文如下所示:
相關(guān)文檔
介紹類(lèi):
控制臺(tái)操作類(lèi):