Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

Geneve를 통한 AWS 게이트웨이 로드 밸런싱

AWS 게이트웨이 로드 밸런서 개요

AWS(Amazon Web Services) 게이트웨이 로드 밸런서(GWLB)는 타사 어플라이언스 구축을 지원하는 다양한 기능을 갖춘 네트워킹 서비스입니다. GWLB는 여러 가상 어플라이언스 전반에 트래픽을 분산할 수 있는 단일 게이트웨이를 제공합니다. 필요에 따라 가상 어플라이언스를 스케일 업 또는 다운할 수 있습니다. 이러한 기능은 네트워크의 잠재적인 장애 지점을 줄이고 가용성을 높입니다. 투명한 로드 밸런싱 및 패킷 라우팅을 위해 Geneve 프로토콜 캡슐화를 사용하는 AWS 게이트웨이 로드 밸런서(GWLB) 서비스로 vSRX 가상 방화벽 3.0을 구축할 수 있습니다.

AWS GWLB를 사용하여 다양한 솔루션의 가용성, 로드 밸런싱, 클라우드 확장을 별도로 해결할 필요 없이 AWS에 vSRX 가상 방화벽 3.0을 사용하여 다양한 매니지드 서비스를 제공할 수 있습니다.

Junos OS 릴리스 23.2R1부터 vSRX 가상 방화벽 3.0을 AWS GWLB와 통합할 수 있습니다(Geneve 프로토콜 지원 포함). vSRX 가상 방화벽 3.0은 AWS GWLB 메타데이터를 디코딩하고 인코딩할 수 있으며, 상호 운용성 테스트를 수행하여 AWS 환경에서 가장 건강한 vSRX 가상 방화벽 3.0을 식별할 수 있습니다.

vSRX 가상 방화벽 3.0에서 Geneve flow가 지원되는 AWS 환경 또는 솔루션의 트래픽 플로우는 기준입니다.

트래픽 소스가 목적지로 트래픽을 전송하고 GWLB가 구축되면(라우팅 기술을 사용하여) GWLB는 레이어 3(L3) 게이트웨이로 작동합니다. GWLB의 L3 특성은 패킷 아웃 서비스에서 패킷이 있는 경로 테이블에서 다음 홉이 될 수 있으며 패킷을 재라우트하지 않습니다. .

그림 1: AWS 게이트웨이 로드 밸런서 및 vSRX 가상 방화벽 3.0

AWS Gateway Load Balancer and vSRX Virtual Firewall 3.0

GWLB는 수신된 트래픽에 대한 레이어 4(L4) 로드 밸런서 역할을 하므로 vSRX 가상 방화벽 3.0을 쉽게 구축, 확장 및 관리할 수 있습니다. 또한 GWLB는 양방향으로 플로우의 고정성을 제공합니다. 이 기능을 사용하면 vSRX 가상 방화벽 3.0이 양방향으로 트래픽을 보고 조치를 수행할 수 있습니다.

GWLB는 vSRX 가상 방화벽 3.0에서 주기적인 상태 검사를 수행하여 vSRX 가상 방화벽 인스턴스가 다운되었는지 확인할 수 있습니다. vSRX 가상 방화벽 인스턴스가 다운된 경우 GWLB는 L3 헤더에서 원래 트래픽을 캡슐화하여 플로우를 재라우팅할 수 있습니다.

vSRX 가상 방화벽 3.0은 제네브 프로토콜을 통해 L3 캡슐화에서 원래의 트래픽을 수신합니다. L3 패킷은 소스 IP 또는 포트 번호를 변경하지 않고 vSRX 가상 방화벽 3.0에 의해 수신됩니다. vSRX 가상 방화벽 다음을 참조하십시오.

  • 트래픽 캡슐화를 해제합니다.

  • 트래픽을 보고 검사합니다.

  • 트래픽을 대상으로 보냅니다.

AWS 게이트웨이 로드 밸런서 서비스의 이점

  • 향상된 가상 어플라이언스 가용성 — 가상 어플라이언스의 가용성과 양적 상태를 보장하기 위해 Gateway Load Balancer는 상태 검사를 실행하여 비정상 가상 어플라이언스를 식별합니다.

    비정상 가상 어플라이언스를 감지하면 게이트웨이 로드 밸런서가 트래픽을 해당 인스턴스에서 정상으로 재라우트하므로 계획되지 않은 다운타임과 계획되지 않은 시간 모두에 Graceful 페일오버가 가능합니다.

  • 가상 어플라이언스 확장 - 게이트웨이 로드 밸런서가 필요에 따라 가상 어플라이언스를 자동으로 확장합니다.

  • 비용 효율성 — BYOL(bring-your-own-license) 또는 사용량에 따른 요금제와 함께 제공되는 가상 어플라이언스를 사용하면 사용량에 대해서만 비용을 지불하고 프로비저닝을 통해 비용을 절감할 수 있습니다.

  • 상태 확인 메커니즘 - TCP, HTTP 또는 HTTP를 사용하는 더 나은 상태 확인 메커니즘을 제공합니다. 인스턴스 장애가 있는 경우, 이러한 메커니즘은 가장 건강한 vSRX 가상 방화벽 3.0 인스턴스를 식별하는 데 도움이 되며 새 플로우를 재라우트할 수 있습니다.

  • 트래픽이 GWLB에서 L3 캡슐화의 어플라이언스로 전달되므로 소스 및 대상은 소프트웨어를 변경할 필요가 없으므로 서비스의 투명 삽입이 가능합니다. 어플라이언스는 트래픽을 마치 노드가 없는 것처럼 전송하기만 하면 됩니다.

더 보기

Geneve vSRX 가상 방화벽 3.0 구축을 통한 AWS GWLB

개요

AWS GWLB 및 Geneve flow 지원으로 vSRX 가상 방화벽 3.0을 다음과 같은 두 가지 모드로 구축할 수 있습니다.

  • vSRX 가상 방화벽 터널 엔드포인트 역할을 합니다. 이 구축 모드에서 가상 터널 엔드포인트 클라이언트(vtepc)(Geneve tunnel endpoint)는 클라이언트와 서버 모두로 향하는 패킷이 가상 터널 엔드포인트 서버(vteps)(vSRX 가상 방화벽 3.0)를 통과하도록 보장해야 합니다. 소스 포트는 가상 터널 엔드포인트(vtep)에 의해 선택됩니다.

    그림 2: vSRX 가상 방화벽 3.0을 터널 엔드포인트 vSRX Virtual Firewall 3.0 as Tunnel Endpoint

  • vSRX 가상 방화벽 3.0을 Geneve 터널 엔드포인트 간 전송 라우터로 제공합니다.

    그림 3: vSRX 가상 방화벽 3.0을 전송 라우터 vSRX Virtual Firewall 3.0 as Transit Router

vSRX 가상 방화벽 3.0을 터널 엔드포인트로 구축

보안 VPC에서 GWLB에서 수신되는 트래픽에 대한 터널 엔드포인트로 vSRX 가상 방화벽 3.0은 Geneve 관련 TLV(Type-length-value) 페어를 인코딩 및 디코딩하고 GWLB에 대한 상태 점검에 응답합니다. 이는 GWLB(AWS Gateway Load Balancer)를 사용하는 보안 VPC에서 vSRX 가상 방화벽 시작하고 동일한 구축 단계를 사용하여 필요에 따라 vSRX 가상 방화벽 시작할 수 있는 구축 시나리오입니다. 보안 VPC에 구축되는 vSRX 가상 방화벽 Geneve 캡슐화, 헤더 구문 분석, 사후 검사 캡슐화 및 패킷을 AWS GWLB로 다시 전달해야 합니다.