使用 Geneve 实现 AWS 网关负载平衡
AWS 网关负载均衡器概述
Amazon Web Services (AWS) 网关负载均衡器 (GWLB) 是一项网络服务,具有多种功能,可帮助您部署第三方设备。GWLB 为您提供了一个网关,用于在多个虚拟设备之间分配流量。您可以根据需要扩展或缩减虚拟设备。这些功能可减少网络中的潜在故障点并提高可用性。您可以使用 AWS 网关负载均衡器 (GWLB) 服务部署 vSRX 虚拟防火墙 3.0,该服务使用 Geneve 协议封装实现透明负载均衡和数据包路由。
使用 AWS GWLB,我们可以向 AWS 提供许多使用 vSRX 虚拟防火墙 3.0 的托管服务,而无需单独解决各种解决方案的可用性、负载平衡和云扩展问题。
从 Junos OS 版本 23.2R1 开始,您可以将 vSRX 虚拟防火墙 3.0 与 AWS GWLB(支持 Geneve 协议)集成。vSRX 虚拟防火墙 3.0 可以对 AWS GWLB 元数据进行解码和编码,并允许执行互操作性测试,以确定 AWS 环境中运行状况最良好的 vSRX 虚拟防火墙 3.0。
在 vSRX 虚拟防火墙 3.0 上支持 Geneve 流的 AWS 环境或解决方案中的流量流如下所示:
当流量源将流量发送到其目标并部署 GWLB(使用路由技术)时,GWLB 将作为第 3 层 (L3) 网关运行。GWLB 的 L3 特征是,它可以是路由表中的下一跃点,具有数据包输入数据包输出服务,并且不会重新路由数据包。.
GWLB 充当所接收流量的第 4 层 (L4) 负载平衡器,使您能够轻松部署、扩展和管理 vSRX 虚拟防火墙 3.0。此外,GWLB在两个方向上提供流动的粘性。此功能使 vSRX 虚拟防火墙 3.0 能够查看两个方向上的流量并对其采取措施。
GWLB 可以在 vSRX 虚拟防火墙 3.0 上执行定期运行状况检查,以检查是否有任何 vSRX 虚拟防火墙实例关闭。如果任何 vSRX 虚拟防火墙实例关闭,GWLB 可以通过将原始流量封装在 L3 标头中来重新路由流。
vSRX 虚拟防火墙 3.0 通过日内瓦协议以 L3 封装的形式接收原始流量。vSRX 虚拟防火墙 3.0 接收 L3 数据包,源 IP 或端口号没有任何变化。vSRX 虚拟防火墙 3.0 然后:
-
解封装流量。
-
查看并检查流量。
-
将流量发送到其目标。
AWS 网关负载均衡器服务的优势
- 改进了虚拟设备可用性 — 为确保虚拟设备可用且运行良好,网关负载均衡器会运行运行状况检查来识别运行状况不佳的虚拟设备。
当检测到运行状况不佳的虚拟设备时,网关负载均衡器会将流量从该实例重新路由到正常运行的实例,因此您可以在计划内和计划外停机期间体验正常的故障转移。
-
扩展虚拟设备 — 网关负载均衡器会根据需要自动扩展或缩减虚拟设备。
-
经济高效 — 通过提供自带许可证 (BYOL) 或即用即付定价的虚拟设备,您可以选择只为使用的内容付费,并通过过度配置来降低成本。
-
运行状况检查机制 - 提供使用 TCP、HTTP 或 HTTP 的更好的运行状况检查机制。如果发生实例故障,这些机制可帮助您确定运行状况最良好的 vSRX 虚拟防火墙 3.0 实例,然后您可以重新路由新流。
-
实现服务的透明插入 — 由于流量以 L3 封装形式从 GWLB 传递到设备,因此源和目标无需更改任何软件。设备只需发送流量,就好像两者之间没有节点一样。
参见
AWS GWLB 与 Geneve vSRX 虚拟防火墙 3.0 部署
概述
您可以通过两种模式部署具有 AWS GWLB 和 Geneve 流支持的 vSRX 虚拟防火墙 3.0:
-
vSRX 虚拟防火墙充当隧道端点 — 在此部署模式下,虚拟隧道端点客户端 (vtepc)(日内瓦隧道端点)必须确保发往客户端和服务器的数据包通过虚拟隧道端点服务器 (VTEP)(vSRX 虚拟防火墙 3.0)。源端口由虚拟隧道端点 (vtep) 选择。
图 2:作为隧道端点的 vSRX 虚拟防火墙 3.0
-
vSRX 虚拟防火墙 3.0 用作日内瓦隧道端点之间的传输路由器。
图 3:作为中转路由器的 vSRX 虚拟防火墙 3.0
将 vSRX 虚拟防火墙 3.0 部署为隧道端点
使用 vSRX 虚拟防火墙 3.0 作为安全 VPC 中 GWLB 接收的流量的隧道终端节点,支持对与日内瓦相关的类型-长度-值 (TLV) 对进行编码和解码,并响应 GWLB 的运行状况检查。在这种部署方案中,您可以在具有 GWLB(AWS 网关负载均衡器)的安全 VPC 中启动 vSRX 虚拟防火墙,并根据需要使用相同的部署步骤启动 vSRX 虚拟防火墙。部署在安全 VPC 中的 vSRX 虚拟防火墙必须支持 Geneve 解封装、解析标头、封装后检测以及将数据包转发回 AWS GWLB。