1. Gateway Load Balancer란?
게이트웨이 로드 밸런서를 사용하면 방화벽, 침입 탐지 및 방지 시스템, 심층 패킷 검사 시스템과 같은 가상 어플라이언스를 배포, 확장 및 관리할 수 있습니다.
투명 네트워크 게이트웨이(즉, 모든 트래픽의 단일 진입점과 종료점)를 결합하고 트래픽을 분산하면서 요구 사항에 따라 가상 어플라이언스를 확장합니다.
게이트웨이 로드 밸런서는 OSI(Open Systems Interconnection) 모델의 세 번째 계층인 네트워크 계층에서 작동합니다.
모든 포트에서 모든 IP 패킷을 수신하고 수신자 규칙에 지정된 대상 그룹으로 트래픽을 전달합니다.
5 튜플(TCP/UDP 흐름의 경우) 또는 3 튜플(비 TCP/UDP 흐름의 경우)을 사용하여 특정 대상 어플라이언스에 대한 흐름 고정성을 유지합니다.
게이트웨이 로드 밸런서와 등록된 가상 어플라이언스 인스턴스는 포트 6081의 GENVE 프로토콜을 사용하여 애플리케이션 트래픽을 교환하고, 8500바이트의 최대 전송 단위(MTU) 크기를 지원합니다.
2. Gateway Load Balancer 구성
게이트웨이 로드 밸런서는 게이트웨이 로드 밸런서 엔드포인트를 사용하여 VPC 경계 간에 트래픽을 안전하게 교환합니다.
게이트웨이 로드 밸런서 엔드포인트는 서비스 공급자 VPC의 가상 어플라이언스와 서비스 소비자 VPC의 애플리케이션 서버 간에 프라이빗 연결을 제공하는 VPC 엔드포인트입니다.
게이트웨이 로드 밸런서는 가상 어플라이언스와 동일한 VPC에 배포하여야 하며, 게이트웨이 로드 밸런서의 대상 그룹에 가상 장치를 등록하여 사용합니다.
GWLB 트래픽 흐름 : 인터넷 외부 → IGW → GWLBE → GWLB → FW → GWLB → GWLBE → EC2
3. Gateway Load Balancer 작동원리
GWLB와 가상 어플라이언스는 GENEVE 캡슐화를 사용하여 서로 애플리케이션 트래픽을 교환합니다.
이러한 캡슐화를 통해 GWLB가 원래 트래픽의 내용을 보존할 수 있도록 합니다.
게이트웨이 로드 밸런서 엔드포인트에서 들어오고 나가는 트래픽은 라우팅 테이블을 사용하여 구성됩니다.
트래픽이 서비스 소비자 VPC에서 게이트웨이 로드 밸런서 엔드포인트를 통해 서비스 공급자 VPC의 게이트웨이 로드 밸런서로 흐른 다음 서비스 소비자 VPC로 돌아갑니다.
게이트웨이 로드 밸런서 엔드포인트와 애플리케이션 서버를 서로 다른 서브넷에 생성해야 합니다.
이렇게 하면 게이트웨이 로드 밸런서 엔드포인트를 애플리케이션 서브넷의 경로 테이블의 다음 홉으로 구성할 수 있으며, VPC 안에 어플라이언스 서비스를 간편하게 삽입할 수 있습니다.
4. Virtual Private Cloud(VPC) Ingress Routing와 Gateway Load Balancer
AWS의 Virtual Private Cloud(VPC) Ingress Routing는 Internet Gateway(IGW) 또는 Virtual Private Gateway(VGW)에서 송수신되는 모든 트래픽을 특정 Amazon Elastic Compute Cloud(EC2) 인스턴스의 탄력적 네트워크 인터페이스로 라우팅합니다.
VPC Ingress Routing을 사용하면 주로 네트워크 보안 도구를 실행하여 수상한 네트워크 트래픽을 검사 또는 차단하거나 다른 EC2 인스턴스로 트래픽을 전달하기 전에 다른 네트워크 트래픽 검사를 실행하는 EC2 인스턴스로 모든 트래픽을 보내도록 VPC를 구성할 수 있습니다.
이를 통해 어플라이언스를 네트워크로 쉽게 추가할 수 있게 되었지만 고가용성과 확장성을 보장하기는 여전히 어렵습니다.
고객은 피크 로드와 고가용성을 처리하기 위해 어플라이언스를 초과 프로비저닝하거나 트래픽을 기준으로 어플라이언스를 직접 확장/축소하거나 다른 보조 도구를 사용해야 합니다.
이 모든 작업이 운영 간접비와 비용을 상승시키는 요인이 됩니다.
하지만 GWLB를 통해 AWS에서 원하는 어플라이언스를 사용하고, 기술 세트 및 기존 프로세스를 유지하면서도 확장 및 가용성 요구 사항을 쉽게 관리할 수 있게되었습니다.
가상 어플라이언스에서 트래픽의 부하를 분산하여 가상 어플라이언스의 규모를 탄력적으로 조정할 수도 있으며,
이를 통해 타사 가상 어플라이언스의 가용성을 쉽고 비용 효율적으로 배포, 확장 및 관리 할 수있습니다.
5. AWS Elastic Load Balancing Partners
사용자는 어플라이언스 공급업체에서 소프트웨어를 선택하고 검증할 책임이 있습니다.
로드 밸런서의 트래픽을 검사하거나 수정하려면 어플라이언스 소프트웨어를 신뢰해야 합니다.
Elastic Load Balancing 파트너로 나열된 어플라이언스 공급업체는 AWS와 어플라이언스 소프트웨어를 통합하고 검증했습니다.
이 목록에 있는 공급업체의 어플라이언스 소프트웨어에 대한 신뢰도를 높일 수 있습니다.
그러나 AWS는 이러한 공급업체 소프트웨어의 보안 또는 안정성을 보장하지 않습니다.
5-1. 보안 기기
5-2. 네트워크 분석
5-3. 오케스트레이션
5-4. 시스템 통합
Fortinet을 이용한 GWLB 구성 방법
2. Fortinet의 보안 그룹에 6081포트 오픈
3. Fortinet 방화벽에 80 포트 오픈
4. GWLB 생성
6. 타켓그룹 생성 -> Fortinet 어플라이언스를 타겟으로하는 타켓그룹을 구성
7. 생성한 GWLB로 엔드포인트를 생성함
8. 생성된 엔드포인트 서비스의 이름을 저장
9. 위에 생성한 엔드포인트 서비스 이름으로 엔드포인트 생성 (VPC는 웹서버가 있는 VPC를 선택)
10. 엔드포인트 생성 완료
11. 웹서버 VPC에서 Ingress 라우팅 테이블 설정
GWLB 엔드포인트로 라우팅 설정
12. 웹서버가 있는 서브넷의 라우팅 테이블 설정
엔드포인트로의 라우팅 설정
13. 엔드포인트를 생성한 서브넷의 라우팅 설정
인터넷 게이트웨이를 라우팅 설정
관련하여 문의사항이 있으시거나 지원이 필요하시면
언제든지 저희 고객지원포털에 문의 남겨주시기 바랍니다.
감사합니다.