Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

AWSゲートウェイのロードバランシングとGeneve

AWSゲートウェイロードバランサーの概要

Amazon Web Services(AWS)ゲートウェイ ロード バランサー(GWLB)は、サードパーティー製アプライアンスの導入に役立つさまざまな機能を備えたネットワーク サービスです。GWLB は、複数の仮想アプライアンス間でトラフィックを分散するための単一のゲートウェイを提供します。需要に応じて仮想アプライアンスをスケールアップまたはスケールダウンできます。これらの機能は、ネットワークの潜在的な障害点を減少させ、可用性を高めます。vSRX仮想ファイアウォール3.0は、AWSゲートウェイロードバランサー(GWLB)サービスと組み合わせて導入できます。このサービスでは、Geneveプロトコルカプセル化を使用して、透過的なロードバランシングとパケットルーティングを実現します。

AWS GWLB を使用することで、さまざまなソリューションの可用性、ロード バランシング、クラウド拡張を個別に解決することなく、vSRX 仮想ファイアウォール 3.0 から AWS へのマネージド サービスを数多く提供できます。

Junos OS リリース 23.2R1 以降、vSRX 仮想ファイアウォール 3.0 を AWS GWLB(Geneve プロトコル サポート付き)と統合できるようになりました。vSRX仮想ファイアウォール3.0は、AWS GWLBメタデータをデコードしてエンコードすることができ、相互運用性テストを実行して、AWS環境で最も正常性の高いvSRX仮想ファイアウォール3.0を識別できます。

AWS環境のトラフィックフロー、またはvSRX仮想ファイアウォール3.0でGeneveフローをサポートするソリューションは以下の通りです。

トラフィックソースが宛先にトラフィックを送信しており、GWLBが(ルーティング技術を使用して)展開されている場合、GWLBはレイヤー3(L3)ゲートウェイとして動作します。GWLBのL3特性は、パケット・イン・パケット・アウト・サービスを持つルート・テーブル内のネクスト・ホップであり、パケットを再ルーティングしないということです。.

図 1:AWS ゲートウェイ ロード バランサーと vSRX 仮想ファイアウォール 3.0

AWS Gateway Load Balancer and vSRX Virtual Firewall 3.0

GWLB は、受信トラフィックのレイヤー 4(L4)ロード バランサーとして機能し、vSRX 仮想ファイアウォール 3.0 を簡単に導入、拡張、管理できます。さらに、GWLB は双方向のフローの密接性を提供します。この機能により、vSRX仮想ファイアウォール3.0は、両方向のトラフィックを確認して動作できます。

GWLB は、vSRX 仮想ファイアウォール 3.0 で定期的なヘルス チェックを実行して、vSRX 仮想ファイアウォール インスタンスがダウンしているかどうかを確認できます。vSRX 仮想ファイアウォール インスタンスがダウンしている場合、GWLB は元のトラフィックを L3 ヘッダーにカプセル化することでフローを再ルーティングできます。

vSRX仮想ファイアウォール3.0は、Geneveプロトコルを介してL3カプセル化で元のトラフィックを受信します。ソースIPやポート番号を変更せずに、vSRX仮想ファイアウォール3.0がL3パケットを受信します。vSRX 仮想ファイアウォール 3.0 その後:

  • トラフィックのカプセル化を解除します。

  • トラフィックを確認して検査します。

  • トラフィックを宛先に送信します。

AWSゲートウェイロードバランサーサービスのメリット

  • 仮想アプライアンスの可用性の向上 — 仮想アプライアンスの可用性と健全性を確保するために、ゲートウェイ ロード バランサーは正常性チェックを実行して、正常でない仮想アプライアンスを識別します。

    問題のある仮想アプライアンスを検出すると、ゲートウェイ ロード バランサー(Gateway Load Balancer)はそのインスタンスから正常なアプライアンスにトラフィックを再ルーティングするため、計画されたダウンタイムと計画外のダウンタイムの両方でグレースフル フェイルオーバーが発生します。

  • 仮想アプライアンスの拡張:ゲートウェイ ロードバランサーは、オンデマンドで仮想アプライアンスを自動的にスケールアップまたはスケールダウンします。

  • 費用対効果:個人所有ライセンス(BYOL)または従量課金制の価格で利用可能な仮想アプライアンスにより、使用量のみを支払い、オーバープロビジョニングでコストを削減することができます。

  • ヘルスチェックメカニズム -TCP、HTTP、またはHTTPを使用するより良いヘルスチェックメカニズムを提供します。インスタンスに障害が発生した場合、これらのメカニズムにより最も健全なvSRX仮想ファイアウォール3.0インスタンスを特定し、新しいフローを再ルートすることができます。

  • サービスの透過的な挿入を可能にします。トラフィックがGWLBからL3カプセル化でアプライアンスに渡されるため、送信元と宛先はソフトウェアを変更する必要はありません。アプライアンスは、ノード間にトラフィックがないかのようにトラフィックを送信するだけです。

「」も参照

Aws GWLBとGeneve vSRX仮想ファイアウォール3.0導入

概要

AWS GWLBとGeneveフローをサポートするvSRX仮想ファイアウォール3.0は、2つのモードで導入できます。

  • vSRX仮想ファイアウォールはトンネルエンドポイントとして機能します。この導入モードでは、仮想トンネルエンドポイントクライアント(vtepc)(Geneveトンネルエンドポイント)が、クライアントとサーバーの両方宛てのパケットが仮想トンネルエンドポイントサーバー(vteps)(vSRX仮想ファイアウォール3.0)を通過することを確認する必要があります。送信元ポートは、仮想トンネルエンドポイント(vtep)によって選択されます。

    図 2:トンネル エンドポイントとしての vSRX 仮想ファイアウォール 3.0 vSRX Virtual Firewall 3.0 as Tunnel Endpoint

  • Geneveトンネルエンドポイント間のトランジットルーターとしてのvSRX仮想ファイアウォール3.0。

    図 3:トランジット ルーターとしての vSRX 仮想ファイアウォール 3.0 vSRX Virtual Firewall 3.0 as Transit Router

vSRX 仮想ファイアウォール 3.0 をトンネル エンドポイントとして導入

vSRX仮想ファイアウォール3.0を、セキュリティVPCでGWLBが受信するトラフィックのトンネルエンドポイントとして使用することで、Geneve関連のTLV(type-length-value)ペアのエンコードとデコードをサポートし、GWLBのヘルスチェックに応答します。この導入シナリオでは、GWLB(AWS ゲートウェイ ロード バランサー)を使用してセキュリティ VPC で vSRX 仮想ファイアウォールを起動し、同じ導入手順を使用してニーズに応じて vSRX 仮想ファイアウォールを起動できます。セキュリティ VPC に導入された vSRX 仮想ファイアウォールは、Geneve のカプセル化解除、ヘッダーの解析、ポスト インスペクションのカプセル化、パケットの AWS GWLB への返送をサポートする必要があります。