網關型負載平衡GWLB(Gateway Load Balancer)是三層負載平衡,通過IP監聽可將所有連接埠的流量分發給後端伺服器組中的網路虛擬設備NVA(Network Virtual Appliance),可幫您輕鬆實現各類網路虛擬設備的高可用部署,例如:防火牆、入侵檢測、流量鏡像、深度報文檢測等。
自2024年10月16日起,網關型負載平衡GWLB開啟公測。關於公測活動詳情,請參見GWLB和GWLBe公測活動說明。申請參與GWLB公測,請提交GWLB&GWLBe公測申請。
GWLB組成
概念 | 說明 |
執行個體 | GWLB是一種工作在OSI參考模型第三層(即網路層)的負載平衡,通過將流量透明地分發到不同的後端伺服器來提高應用系統的安全性和可用性。 |
監聽 | GWLB使用IP監聽,將所有連接埠的流量通過Geneve協議的方式轉寄至後端伺服器組。一個GWLB執行個體僅支援一個監聽。 |
伺服器組 | 伺服器組是一個邏輯組,包含多個支援Geneve協議的後端伺服器。每個伺服器組用於將GWLB分發的業務請求路由到一個或多個後端伺服器。 GWLB中伺服器組獨立於GWLB存在,可以將同一伺服器組掛載在不同GWLB內,但一個GWLB執行個體僅支援一個伺服器組。 GWLB伺服器組支援ECS、ECI、ENI和IP類型的後端伺服器,但一個伺服器組中僅支援同一類型的後端伺服器。 GWLB通過健全狀態檢查來判斷後端伺服器的可用性。GWLB探測伺服器組中不健康的伺服器,並避免將新的請求分發給不健康的伺服器。GWLB支援豐富靈活的健全狀態檢查配置,如協議、連接埠以及各種健全狀態檢查閾值。 |
GWLB工作原理
GWLB需要與PrivateLink服務的GWLBe搭配使用,GWLBe是一種特殊類型的VPC終端節點,您可以通過GWLBe在業務VPC與安全VPC之間建立私網串連。GWLBe可通過PrivateLink將流量路由至安全VPC中的GWLB進行處理。
進出GWLBe的流量使用路由表進行控制。訪問流量通過GWLBe路由至GWLB,經過後端網路虛擬設備檢測過濾後,再次被路由回相應的GWLBe,最終轉寄至應用端。
GWLB使用IP全連接埠監聽,可將訪問流量透明地轉寄到IP監聽所關聯的後端伺服器組中。GWLB支援基於五元組(源IP、目的IP、傳輸協議、源連接埠、目的連接埠)、三元組(源IP、目的IP、傳輸協議)和二元組(源IP、目的IP)的一致性雜湊演算法來調度流量,GWLB會將同一特徵的流量路由到相同後端網路虛擬設備中。
網路虛擬設備供應商
阿里雲GWLB支援將各類第三方網路虛擬設備整合至後端伺服器組中,以實現訪問流量的檢測和過濾。
應用情境
通過GWLB部署互連網邊界防火牆
隨著網路攻擊手段的日益複雜,企業面臨著多重安全威脅。為有效抵禦網路風險攻擊,構建高可用的防火牆叢集至關重要。企業可以通過GWLB對流量進行集中管理,將所有進出流量導向防火牆叢集進行深度檢查與過濾,同時,GWLB還可以確保防火牆在多個可用性區域內的高可用性,有效避免單點故障對業務造成的不良影響。
通過GWLB部署NAT邊界防火牆
NAT Gateway通常是雲上資源訪問互連網的網路出口。為應對複雜的網路安全挑戰,企業可通過GWLB將所有經過NAT Gateway的流量集中至統一的管理層,從而確保所有出入互連網的請求都經過防火牆進行安全性稽核,以實現對流量的全面控制。
通過GWLB部署VPC邊界防火牆
在同一地區內,多個VPC之間的雲資源需要互連時,可以通過轉寄路由器TR將訪問流量引導至GWLB,GWLB負責將訪問流量分發至後端安全裝置,以進行流量過濾,僅允許經過過濾的流量相互連信,從而提升網路的安全性。
建立網關型負載平衡GWLB
單擊建立網關型負載平衡GWLB可立即前往GWLB產品購買頁面。
部署和維護GWLB
註冊阿里雲帳號後,您可以通過以下方式部署和維護GWLB:
網關型負載平衡GWLB控制台:具有互動式操作的Web服務頁面。您可登入控制台完成GWLB執行個體的建立、使用或釋放,具體操作,請參見建立和管理GWLB執行個體。
阿里雲SDK:提供Java、Go、Python等多種程式設計語言的SDK。
OpenAPI開發人員門戶:提供快速檢索介面、線上調用API和動態產生SDK範例程式碼等服務。