通過GWLB快速實現IPv4流量的安全檢測 - Server Load Balancer

如果您需要配置、擴充和管理第三方網路虛擬設備，如防火牆、入侵偵測系統等，可以使用網關型負載平衡 GWLB（Gateway Load Balancer）。本文將介紹如何快速配置GWLB，並配置相應的網關型負載平衡終端節點GWLBe，以構建一個可以通過GWLB快速實現IPv4流量的安全檢測系統。

情境樣本

某企業為了提升業務安全性和可靠性，需要將公網IPv4訪問流量路由至網路虛擬設備進行安全檢測，再轉寄到應用伺服器進行處理。

企業可以藉助GWLB管理網路虛擬設備並且確保流量在被分發到應用伺服器前經過嚴格的檢測和處理，本文以下圖情境為例，企業使用阿里雲帳號A在華北6（烏蘭察布）地區建立業務VPC和安全VPC。

業務VPC負責運行應用系統，且具備IPv4網關，將訪問公網的流量引流至網路虛擬設備。
在業務VPC中建立應用伺服器所在子網的交換器VSW01和GWLBe所在子網的交換器VSW02，在交換器VSW01中部署應用伺服器ECS01，ECS01中部署可訪問的應用服務，在交換器VSW02中建立網關型負載平衡終端節點GWLBe。
安全VPC負責運行網路虛擬設備。
在安全VPC中建立GWLB，並在後端伺服器組掛載網路虛擬設備，同時在安全VPC中建立終端節點服務，將GWLB執行個體添加為服務資源。

GWLBe與終端節點服務建立串連且狀態正常時，公網訪問流量即可被路由至網路虛擬設備。

IPv4業務從用戶端到應用伺服器入方向工作流程（黑色箭頭）	IPv4業務從應用伺服器到用戶端出方向工作流程（藍色箭頭）
IPv4流量通過IPv4網關進入業務VPC；根據網關路由表，將流量發送到GWLBe； GWLBe將流量轉換髮往GWLB，然後由GWLB將流量轉寄到網路虛擬設備；網路虛擬設備完成安全檢查後，將流量轉回到GWLB，通過私網串連服務將流量轉到GWLBe；根據交換器VSW02綁定的路由表，將流量發送到應用伺服器。	根據交換器VSW01配置的路由表，將流量發送到GWLBe； GWLBe將流量發往GWLB，GWLB將流量轉寄到網路虛擬設備；網路虛擬設備完成安全檢查後，將流量轉回到GWLB，通過私網串連服務將流量轉到GWLBe；根據交換器VSW02配置的路由表，將流量發送到IPv4網關； IPv4網關將流量路由至用戶端。

使用限制

啟動至少一個安全裝置執行個體。
後端伺服器的安全性群組必須放通UDP協議類型和6081連接埠。
建立終端節點服務時，選擇地區與可用性區域需要同時支援私網串連和GWLB執行個體的地區與可用性區域。關於私網串連和GWLB執行個體支援的地區，請參見支援私網串連的地區和可用性區域和GWLB支援的地區與可用性區域。
網關型負載平衡終端節點部署的可用性區域必須是終端節點服務資源部署的可用性區域的子集，才可以建立串連。

前提條件

您已建立了業務VPC和安全VPC，在業務VPC的可用性區域B建立了交換器VSW01和VSW02，在安全VPC的可用性區域B建立了交換器VSW03。請參見建立專用網路和交換器。
說明
交換器VSW01劃分的子網用於部署應用伺服器，交換器VSW02劃分的子網用於部署GWLBe，交換器VSW03劃分的子網用於部署GWLB。
您已建立並啟用了IPv4網關並關聯業務VPC，請參見建立和管理IPv4網關。
您已建立IPv4網關的路由表、交換器VSW01的路由表和VSW02的路由表，請參見建立和管理路由表。
您已在業務VPC中建立ECS執行個體ECS01，且ECS01中部署了應用服務，如果ECS01執行個體需要進行公網通訊，必須分配公網IP；在安全VPC的可用性區域B中建立ECS執行個體ECS02和ECS03，且ECS02和ECS03分別部署了網路虛擬設備的鏡像。
- 關於建立ECS執行個體，請參見自訂購買執行個體。
- 關於部署網路虛擬設備鏡像，請參見使用執行個體建立自訂鏡像。

您已經給ECS01、ECS02和ECS03建立了安全性群組。您可以根據自己的實際業務和安全要求配置安全性群組規則。請參見建立安全性群組。

配置步驟

步驟一：建立GWLB執行個體

執行個體是一個負載平衡服務實體，您需要先建立GWLB執行個體。

登入網關型負載平衡GWLB控制台。
在頂部功能表列，選擇GWLB所在的地區。
在執行個體頁面，單擊建立網關型負載平衡。

在網關型負載平衡-國際站購買頁面，完成以下配置。

此處僅列出和本文強相關的配置項，其他未列出的配置項使用預設值。關於參數的更多資訊，請參見建立和管理GWLB執行個體。

配置	說明
執行個體名稱	輸入執行個體名稱。
專用網路	選擇執行個體所屬的安全VPC。
地區和可用性區域	選擇執行個體所屬的地區。本文選擇華北6（烏蘭察布）。
可用性區域	至少選擇1個可用性區域。本文選擇烏蘭察布可用性區域B及該可用性區域下的交換器VSW03。
協議版本	選擇執行個體的協議版本。本文選擇IPv4。
服務關聯角色	首次建立網關型Server Load Balancer執行個體時，需要單擊建立服務關聯角色，建立一個名稱為AliyunServiceRoleForGwlb的服務關聯角色。說明該參數僅在首次建立GWLB時展示。

單擊立即購買，然後根據控制台提示完成執行個體開通。
返回執行個體頁面，選擇對應的地區即可看到建立的執行個體。

步驟二：建立後端伺服器組

您需要建立伺服器組並添加後端伺服器來接受GWLB轉寄的用戶端請求。

在左側導覽列，選擇網關型負載平衡GWLB > 伺服器組。
在伺服器組頁面，單擊建立伺服器組。

在建立伺服器組對話方塊設定管理員組相關的參數，然後單擊建立。

此處僅列出和本文強相關的配置項，其他未列出的配置項使用預設值。關於參數的更多資訊，請參見建立和管理伺服器組。

參數	描述
伺服器群組類型	選擇一種伺服器群組類型：本文選擇伺服器類型。
伺服器組名稱	輸入伺服器組名稱。
VPC	從VPC下拉式清單中選擇本文ECS執行個體所屬的安全VPC。說明確保您選擇的VPC與建立GWLB執行個體時選擇的VPC相同。
選擇調度演算法	選擇一種調度演算法，本文選擇五元組雜湊。
健全狀態檢查方法	選擇健全狀態檢查方法或關閉健全狀態檢查。本文選擇TCP。
健全狀態檢查連接埠	輸入健全狀態檢查連接埠，本文配置80。

在伺服器組建立成功對話方塊單擊添加後端伺服器。
在後端伺服器頁簽單擊添加後端伺服器。
在添加後端伺服器面板，選擇伺服器類型。
本文伺服器類型配置為Elastic Compute Service/彈性網卡ENI。
選擇已建立的ECS02和ECS03執行個體，單擊確定。
說明
- 本文伺服器類型配置為Elastic Compute Service/彈性網卡ENI。
- 請確保您已經在後端伺服器部署網路虛擬設備的鏡像，並且後端伺服器具備處理Geneve協議流量的能力。

步驟三：配置監聽

您需要為執行個體配置監聽，並給監聽關聯上後端伺服器組，將所有連接埠的流量通過Geneve協議的方式轉寄至後端伺服器。

在左側導覽列，選擇網關型負載平衡GWLB > 執行個體，單擊執行個體ID。
單擊監聽頁簽，然後單擊建立IP監聽。
在建立IP監聽配置頁面，選擇伺服器群組類型，選擇已建立的伺服器組資訊。
頁面顯示已添加的伺服器列表，單擊確定。

步驟四：配置終端節點服務

服務提供者需要通過終端節點服務讓GWLB對外提供服務。

登入終端節點服務控制台。
在終端節點服務頁面，單擊建立終端節點服務。

在建立終端節點服務頁面，根據以下資訊配置終端節點服務，然後單擊確定建立。

此處僅列舉和本文相關的配置。

參數	描述
所屬地區	本文選擇華北6（烏蘭察布）。
服務資源類型	終端節點服務下的服務資源的類型。本文選擇網關型負載平衡GWLB。
選擇服務資源	選擇服務資源的可用性區域及可用性區域下的服務資源。本文可用性區域選擇烏蘭察布可用性區域B。可用性區域B的服務資源選擇步驟一：建立GWLB執行個體中建立的支援私網串連的GWLB執行個體。
網路類型	本文選擇IPv4。
自動接受終端節點串連	選擇是否自動接受終端節點的串連請求。本文選擇是。說明此處設定自動接受終端節點串連，在建立終端節點後，終端節點服務會自動接受終端節點的串連請求。
服務付費者	本文選擇服務使用方。

步驟五：配置網關型負載平衡終端節點

服務使用者需要建立相應的GWLBe，從而與終端節點服務建立串連。

登入終端節點控制台。
在終端節點頁面，單擊介面終端節點頁簽，然後單擊建立終端節點。

在建立終端節點頁面，根據以下資訊配置終端節點，然後單擊確定建立。

此處僅列舉和本文強相關的配置。

參數	描述
所屬地區	本文選擇華北6（烏蘭察布）。
節點名稱	自訂終端節點的名稱。
終端節點類型	終端節點選擇的節點類型。本文選擇網關型負載平衡終端節點。
終端節點服務	本文先單擊選擇可用服務，然後選擇步驟四：配置終端節點服務建立的終端節點服務。
專用網路	選擇終端節點所屬的專用網路。本文選擇業務VPC的ID。
可用性區域與交換器	選擇終端節點服務對應的可用性區域，然後選擇該可用性區域內的交換器，系統會自動在該交換器下建立一個終端節點網卡。本文可用性區域選擇烏蘭察布可用性區域B並選擇可用性區域B內的VSW02。
網路類型	本文選擇IPv4。

說明

確保終端節點的串連狀態是已串連。

步驟六：配置路由

服務使用者需要配置路由將流量引到GWLBe。

登入專用網路管理主控台。
在左側導覽列，單擊路由表。
在頂部功能表列，選擇路由表所屬的地區。
在路由表頁面，單擊目標路由表的ID。
說明
目標路由表包含IPv4網關路由表、VSW01的路由表和VSW02的路由表，請依次開啟進行配置。
在路由表詳情頁面，在路由條目列表頁簽，單擊系統路由條目，查看系統路由條目。
系統會在自訂路由表中自動添加以下系統路由：
以路由表所屬VPC內的交換器網段為目標網段的路由條目，用於交換器內的雲產品通訊。

修改系統路由條目：在配置IPv4網關的路由表時，在路由條目列表 > 系統路由條目頁簽，找到目標系統路由條目，然後在操作列單擊編輯，在編輯路由表條目對話方塊，配置以下參數，然後單擊確定。該路由條目會出現在自訂路由條目中。

配置	說明
目標網段	顯示轉寄流量的目標網段。目標網段不支援修改。本文為192.168.2.0/24。
名稱	修改路由條目的名稱。
下一跳類型	選擇下一跳類型。本文為網關型負載平衡終端節點。
網關型負載平衡終端節點	選擇步驟五：配置網關型負載平衡終端節點建立的網關型負載平衡終端節點。

新增自訂路由條目：在配置交換器的路由表時，單擊自訂路由條目，輸入目標網段和下一跳類型，單擊確定。
- 在配置交換器VSW01的路由表時，本文自訂目標網段為0.0.0.0/0，下一跳類型為網關型負載平衡終端節點的路由條目。
- 在配置交換器VSW02的路由表時，本文自訂目標網段為0.0.0.0/0，下一跳類型為IPv4網關的路由條目。

IPv4網關的路由表配置
IPv4網關的路由表必須具有將發往應用伺服器的流量路由到GWLBe的條目。本文IPv4網關的路由表配置如下表所示，僅供參考。
目標網段
下一跳類型
路由項目類型
192.168.5.0/24
local
系統路由條目
192.168.2.0/24
網關型負載平衡終端節點
自訂路由條目
應用伺服器所在子網的交換器VSW01的路由表配置
交換器VSW01的路由表必須具有將來自應用伺服器的所有流量路由到GWLBe的條目。本文交換器VSW01的路由表配置如下表所示，僅供參考。
目標網段
下一跳類型
路由項目類型
192.168.2.0/24
local
系統路由條目
192.168.5.0/24
local
系統路由條目
0.0.0.0/0
網關型負載平衡終端節點
自訂路由條目
GWLBe所在子網的交換器VSW02的路由表配置
交換器VSW02的路由表必須將從檢查返回的流量路由到最終目的地。對於來自互連網的流量，本地路由將確保其會到達應用伺服器。對於來自應用伺服器的流量，則添加將所有流量路由到IPv4網關的條目。本文交換器VSW02的路由表配置如下表所示，僅供參考。
目標網段
下一跳類型
路由項目類型
192.168.2.0/24
local
系統路由條目
192.168.5.0/24
local
系統路由條目
0.0.0.0/0
IPv4網關
自訂路由條目

步驟七：測實驗證

測試訪問流量連通性

登入應用伺服器ECS01，測試ECS01對公網的訪問，執行如下命令：

ping www.aliyun.com

返回報文顯示應用伺服器對公網訪問的具體資訊，並保持產生流量一段時間，ECS01訪問公網的流量連通性測試通過。

返回報文如下所示：

測試流量經過安全檢測

登入後端伺服器ECS02或者ECS03，捕獲所有經過連接埠為6081的資料包，執行如下命令：

tcpdump -i any port 6081

返回報文顯示有來自ECS01的請求和響應資料，實現了通過GWLB，將訪問流量路由至網路虛擬設備進行安全檢測的過程。