網關型負載均衡 GWLB(Gateway Load Balancer)是三層負載均衡,通過IP監聽可將所有端口的流量分發給后端服務器組中的網絡虛擬設備NVA(Network Virtual Appliance),可幫您輕松實現各類網絡虛擬設備的高可用部署,例如:防火墻、入侵檢測、流量鏡像、深度報文檢測等。
自2024年10月16日起,網關型負載均衡GWLB開啟公測。關于公測活動詳情,請參見GWLB和GWLBe公測活動說明。申請參與GWLB公測,請提交GWLB&GWLBe公測申請。
GWLB組成
概念 | 說明 |
實例 | GWLB是一種工作在OSI參考模型第三層(即網絡層)的負載均衡,通過將流量透明地分發到不同的后端服務器來提高應用系統的安全性和可用性。 |
監聽 | GWLB使用IP監聽,將所有端口的流量通過Geneve協議的方式轉發至后端服務器組。一個GWLB實例僅支持一個監聽。 |
服務器組 | 服務器組是一個邏輯組,包含多個支持Geneve協議的后端服務器。每個服務器組用于將GWLB分發的業務請求路由到一個或多個后端服務器。 GWLB中服務器組獨立于GWLB存在,可以將同一服務器組掛載在不同GWLB內,但一個GWLB實例僅支持一個服務器組。 GWLB服務器組支持ECS、ECI、ENI和IP類型的后端服務器,但一個服務器組中僅支持同一類型的后端服務器。 GWLB通過健康檢查來判斷后端服務器的可用性。GWLB探測服務器組中不健康的服務器,并避免將新的請求分發給不健康的服務器。GWLB支持豐富靈活的健康檢查配置,如協議、端口以及各種健康檢查閾值。 |
GWLB工作原理
GWLB需要與私網連接(PrivateLink)服務的GWLBe搭配使用,GWLBe是一種特殊類型的VPC終端節點,您可以通過GWLBe在業務VPC與安全VPC之間建立私網連接。GWLBe可通過PrivateLink將流量路由至安全VPC中的GWLB進行處理。
進出GWLBe的流量使用路由表進行控制。訪問流量通過GWLBe路由至GWLB,經過后端網絡虛擬設備檢測過濾后,再次被路由回相應的GWLBe,最終轉發至應用端。
GWLB使用IP全端口監聽,可將訪問流量透明地轉發到IP監聽所關聯的后端服務器組中。GWLB支持基于五元組(源IP、目的IP、傳輸協議、源端口、目的端口)、三元組(源IP、目的IP、傳輸協議)和二元組(源IP、目的IP)的一致性哈希算法來調度流量,GWLB會將同一特征的流量路由到相同后端網絡虛擬設備中。
網絡虛擬設備供應商
阿里云GWLB支持將各類第三方網絡虛擬設備集成至后端服務器組中,以實現訪問流量的檢測和過濾。
應用場景
通過GWLB部署互聯網邊界防火墻
隨著網絡攻擊手段的日益復雜,企業面臨著多重安全威脅。為有效抵御網絡風險攻擊,構建高可用的防火墻集群至關重要。企業可以通過GWLB對流量進行集中管理,將所有進出流量導向防火墻集群進行深度檢查與過濾,同時,GWLB還可以確保防火墻在多個可用區內的高可用性,有效避免單點故障對業務造成的不良影響。
通過GWLB部署NAT邊界防火墻
NAT網關通常是云上資源訪問互聯網的網絡出口。為應對復雜的網絡安全挑戰,企業可通過GWLB將所有經過NAT網關的流量集中至統一的管理層,從而確保所有出入互聯網的請求都經過防火墻進行安全審核,以實現對流量的全面控制。
通過GWLB部署VPC邊界防火墻
在同一地域內,多個VPC之間的云資源需要互通時,可以通過轉發路由器TR將訪問流量引導至GWLB,GWLB負責將訪問流量分發至后端安全設備,以進行流量過濾,僅允許經過過濾的流量相互通信,從而提升網絡的安全性。
創建網關型負載均衡GWLB
單擊創建網關型負載均衡GWLB可立即前往GWLB產品購買頁面。
部署和維護GWLB
注冊阿里云賬號后,您可以通過以下方式部署和維護GWLB:
網關型負載均衡GWLB控制臺:具有交互式操作的Web服務頁面。您可登錄控制臺完成GWLB實例的創建、使用或釋放,具體操作,請參見創建和管理GWLB實例。
OpenAPI開發者門戶:提供快速檢索接口、在線調用API和動態生成SDK示例代碼等服務。
阿里云App:移動端類型的管理工具。