基于AWS GWLB实现安全检测的线性扩展

已于 2022-08-27 21:48:31 修改
阅读量1.3k 收藏 1
点赞数
文章标签: aws 负载均衡 云计算
于 2022-08-27 21:41:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cyt_317/article/details/126562825
版权

一、概述

AWS中国区发布AWS 网关负载均衡服务,本文档在AWS 宁夏区完成验证网关负载均衡服务集成FortiGate扩展安全检查性能应用实践。

AWS中运行着关键应用程序,FortiGate安全网关对进出AWS环境的流量进行安全检查,单个虚拟实例或主备冗余虚拟实例处理能力有限,容易成为网络性能瓶颈。

AWS 网关负载均衡(GWLB)为AWS提供的托管型4层负载均衡服务,AWS网关负载均衡将互联网IGW流量或虚拟私有网关VGW流量负载分担到多个安全网关,扩展互联网出口和VPC互连网络安全处理性能,并且保障FortiGate安全网关的容错能力和扩展性。

二、AWS 网关负载均衡工作原理

AWS GWLB常用于两种场景,IGW互联出口南北向流量安全检查 和  VPC间东西向安全流量检查。无论是哪种应用场景,通过修改VPC路由表路由条目,调整数据转发路径,使需要安全检查的子网流量下一跳指向GWLB,从而使流量穿过安全网关进行安全检查或安全控制。GWLB和Fortigate安全网关之间的流量使用GENEVE协议封装,数据端口UDP 6081。

GWLB部件:

  1. Customer VPC:应用程序所在VPC
  2. GWLB endpoint: 放置在custmer VPC的一块虚拟网卡,作为路由下一跳,需要冗余在每个AZ有一个GWLB endpoint。
  3. Ingress router: 绑定IGW的Internet入口路由表
  4. GWLB:放置在安全区的4层负载均衡服务,每个可用区会创一个网关并且获得一个地址,用于与Fortigate建立GENEVE 隧道。
  5. GWLB private link: Customer VPC和 Security VPC间不需要VPC peer,  GWLB endpoint 通过GWLB private link连接到GWLB负载均衡

入向流量转发流程(红色路径):

  1. 入口流量进入IGW ingress 路由表
  2. Ingress 路由表把业务服务器网关路由下一跳指向GWLB  endpoint虚拟网卡
  3. GWLB endpoint转发数据到GWLB, GWLB 把流量负载到fortigate,fortigate把流量回送到GWLB.
  4. GWLB 把数据回送到GWLB endpoint, GWLB endpoint转发数据到应用实例。

出向流量转发流程(蓝色路径):

  1. 应用实例路由表下一跳GWLB endpoint。
  2. GWLB endpoint转发数据到GWLB, GWLB 把流量负载到fortigate,fortigate把流量回送到GWLB,GWLB 把数据回送到GWLB endpoint。
  3. GWLB endpoint 转发到IGW
  4. IGW把出向流量转发出互联网

三、FortiGate集成GWLB 测试

         本测试为手动配置操作步骤,可通过AWS命令行或CloudFormation  快速部署,防火墙扩容可结合弹性扩容服务自动扩展GWLB 负载目标。

                                 ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        (测试拓朴)

VPC配置

  1. 创建两个VPC

App-vpc               10.0.0.0/16

SEC-VPC                10.1.0.0/16

  1. 创建子网

APP-VPC 4个子网

sub1-z1-gwlb

10.0.1.0/24

可用区1 GWLB endpoint 子网

最低0.47元/天 解锁文章
Y1tao
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AWS GWLB对访问ALB流量做安全检测
liuqianglong_liu的博客
11-15 494
AWS Gateway Load Balancer对访问Application Load Balancer流量做安全检测,并关联AWS WAF策略,使用Linux iptables模拟防火墙,全自动化搭建实验环境。
AWS GWLB对访问NLB流量做安全检测
liuqianglong_liu的博客
11-07 363
AWS Gateway Load Balancer对访问Network Load Balancer流量做安全检测,使用Linux iptables模拟防火墙,全自动化搭建实验环境。
利用CloudFormation自动化部署AWS GWLB集成FortiGate防火墙
liuqianglong_liu的博客
11-01 325
利用CloudFormation自动化部署AWS GWLB集成FortiGate防火墙
AWS测试问题
weixin_33922670的博客
05-24 243
国际专线预交付期间, 用户反映他们设备光衰大。经TNMS网管查看,都正常,收发光均正常。可以判断原因为他们设备收光问题。拿光功率计测试,他们尾纤衰号有5db。 处理后他们收光由-15变至-10,他们表示正常。 第二个问题,反映Ping测不通,hk可以学到zw mac地址,但是zw arp抓包是zw的地址。 用户怀疑存在环路 。 计划周五测试。周四Hk侧发应客户侧存在环路。 ...
AWS基础知识Training Notes (Phase Ⅵ) - 安全
x_chengqq
03-09 435
AWS 安全性 责任共担模式 用户权限和访问 AWS Identity and Access Management (IAM) 让用户能够安全地管理对AWS资源和服务的访问。能够灵活配置访问权限。 功能: IAM用户、组和角色 IAM策略 多重验证 注意 不要将根用户用于日常任务。 IAM 用户 是用户在AWS创建的身份。 它代表的是与AWS服务和资源交互的人员或应用程序。 由名称和凭证组成。 ...
基于AWS云平台实现云上数仓开发视频教程
10-14
通过知识点讲解、案例实战、理论概念讲解来学习基于AWS云平台实现云上数仓的构建和开发。 课程亮点 1,全程基于AWS云平台 2,对AWS相关技术进行深入学习 3,实操配合案例,更容易理解 4,包含BI开发的内容 适用...
基于AWS云平台实现云上数仓开发2020年
04-10
│ 3.4-前期准备-准备安全组.mp4 │ 3.5-前期准备-准备S3存储桶.mp4 │ 4.3-连接RDS.mp4 │ 4.4-修改RDS的参数.mp4 │ 5.1-5.2-Glue-Glue的概念和执行原理介绍.mp4 │ 5.3.1-Glue-元数据目录-手动添加csv文件...
AWS云上安全最佳实践.pdf
最新发布
04-01
AWS 云上安全最佳实践主要包括以下几个方面: 身份和访问管理(IAM) 创建单独的 IAM 用户,不要使用 root 账户 为每个 IAM 用户分配最小权限原则的访问策略 启用多因素身份验证(MFA) 定期审计和清理不需要的 IAM 用户...
基于AWS 的访问控制系统设计与实现
04-16
通过对XACML 和Amazon Web Services云计算平台的研究, 确定了时间属性、用户属性、动作属性等5个属性需求用以支持针对AWS的基于XACML访问控制系统的设计, 根据AWS可接受的数据类型JSON以及用户信息采集方法确定了3...
Netflix基于AWS的大数据平台Hadoop架构解析
01-31
Netflix的数据科学家在官方的博客中介绍了该平台在运行、管理以及访问多集群时的灵活性,还包括基于AWS的Hadoop架构以及Hadoop平台即服务(PaaS)。 Netflix近日公开了部署在AWS之上的Hadoop平台架构,而且运行...
基于AWS的云服务架构最佳实践 #CSDN博文精选# #IT# #云服务实践#
CSDN高校俱乐部官方博客
02-19 1075
大家好,小C将继续与你们见面,带来精选的CSDN博文~ 在这里,你将收获: 将系统化学习理论运用于实践,系统学习IT技术 学习内容涵盖数据库、软件测试、主流框架、领域驱动设计和第三方生态等,离全栈工程师更近一步 精心整理的CSDN技术大咖博文,假期学习实现弯道超车 春节假期过后,已经正式开始工作了~专栏《全栈工程师养成记》也进入了尾声,小C陪伴你们学习! 本文来自CSDN大咖博主@半吊子全栈工匠 近年来,对于打造高度可扩展的应用程序,软件架构师们挖掘了若干相关理念,并以最佳实践的方式加以实.
AWS Gateway VPC endpoints
小x的博客
09-24 613
Gateway VPC endpoints 图中,subnet-2中的机器可以通过VPC endpoint 访问S3
AWS 认证考试系列 - 知识点 - 负载均衡LB介绍
customservice的博客
04-27 400
AWS LB支持应用负载均衡器(ALB)、网络负载均衡器(NLB)和经典负载均衡器(ELB)三种负载均衡器类型,每种类型均适用于不同的使用场景和应用程序。其中,ALB可针对HTTP和HTTPS应用程序作出最优化负载均衡,支持HTTP/2和WebSocket协议等高级功能,而NLB适用于处理TCP和UDP流量,支持跨区域负载均衡等高级功能。通过选择合适的实例类型,EC2可满足各种计算需求,同时提供弹性和灵活性,确保您只为您的计算资源支付所需的费用。
Open Virtual Network 与 firewalld
redwingz的博客
07-04 444
firewalld是一个允许轻松管理防火墙的服务。OVN提供了一组服务文件,可与firewalld一起使用以允许用于到北向和南向数据库的远程连接。 本指南将介绍如何在防火墙设置中使用这些文件。firewalld的设置和管理超出本文档讨论范围。 安装 如果你已经从RPM安装了OVN,那么有关firewalld的服务文件将自动安装在/usr/lib/firewalld/services中。RPM安装包...
亚马逊云科技2023年1-2月服务上新
亚马逊云科技专栏
03-15 339
从计算、存储和数据库等基础设施技术,到机器学习、人工智能、数据湖和分析以及物联网等新兴技术,亚马逊云科技为客户提供多样的服务及功能。借助亚马逊云科技,您可以在种类繁多的前沿技术中选择适合您工作负载的服务和功能来进行构建及创新。在过去的两个月里,由西云数据运营的亚马逊云科技中国(宁夏)区域落地了75个,由光环新网运营的亚马逊云科技中国(北京)区域落地了75个新功能或新服务。我们将基于客户需求,与光环...
自动化部署AWS API Gateway,Lambda,防火墙与WAF实现动态威胁防护与响应
cyt_317的博客
03-01 647
当上节Terraform创建时,terraform.tfvar文件中的变量enableSimpleWebSrv = true 时,即表示部署一组简单的WEB应用实例,其中位于可用区1的subnet-app的IP为192.168.251.72 (请根据您Terraform部署后的实例实际IP填写),当从浏览器发起访问,如。当您完成上步,即Terraform工程与您AWS环境的适配后,您就可以执行下面的命令,测试Terraform是否满足部署条件。如果false,请参照文件中的指导,在DryRun时传入ID。
锐捷防火墙(WEB)——混合模式(VDOM)场景
君逍遥o
09-20 553
虚拟域(VDOM),可以理解为虚拟防火墙,是一种将一个RG-WALL设备分为两个或两个以上虚拟设备的技术,它能起到多个独立设备的作用。VDOM可提供单独防火墙策略,在NAT/路由模式下,它可完全分开配置,从而为各连通网络或组织提供路由或VPN服务,同时VDOM之间也可以互访。设备的系统资源可以手动分配给不同的VDOM。一般常用于需要完成独立分割的多个网络,比如云环境;由于NGFW只能切换成nat和透明的其中一种模式,所以在既有透明又有nat路由的混合环境下必须使用VDOM模式来实施”
AWS GWLB集成FortiGate防火墙
liuqianglong_liu的博客
10-31 546
AWS GWLB集成FortiGate防火墙
Fortigate 飞塔防火墙命令行常用操作 CLI
热门推荐
范枝洲的博客
03-27 2万+
文章目录1. 设备console口设置2. 设置接口IP3. 设置网关4. 设置DNS5. 设置NTP 1. 设备console口设置 Bits per second 9600 Data bits 8 Parity None Stop bits 1 Flow control None 2. 设置接口IP config system interface edit port1 set ip 19...
基于AWS云的大数据平台
05-12
AWS提供了许多工具和服务,可以支持大数据处理,建立大数据平台。以下是一些常用的AWS服务和工具: 1. Amazon EMR:这是一个基于Hadoop的云端大数据平台,可以快速地处理、分析和可视化大规模数据集。 2. Amazon ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值