网关型负载均衡GWLB(Gateway Load Balancer)是三层负载均衡,通过IP监听可将所有端口的流量分发给后端服务器组中的网络虚拟设备NVA(Network Virtual Appliance),可帮您轻松实现各类网络虚拟设备的高可用部署,例如:防火墙、入侵检测、流量镜像、深度报文检测等。
自2024年10月16日起,网关型负载均衡GWLB开启公测。关于公测活动详情,请参见GWLB和GWLBe公测活动说明。申请参与GWLB公测,请提交GWLB&GWLBe公测申请。
GWLB组成
概念 | 说明 |
实例 | GWLB是一种工作在OSI参考模型第三层(即网络层)的负载均衡,通过将流量透明地分发到不同的后端服务器来提高应用系统的安全性和可用性。 |
监听 | GWLB使用IP监听,将所有端口的流量通过Geneve协议的方式转发至后端服务器组。一个GWLB实例仅支持一个监听。 |
服务器组 | 服务器组是一个逻辑组,包含多个支持Geneve协议的后端服务器。每个服务器组用于将GWLB分发的业务请求路由到一个或多个后端服务器。 GWLB中服务器组独立于GWLB存在,可以将同一服务器组挂载在不同GWLB内,但一个GWLB实例仅支持一个服务器组。 GWLB服务器组支持ECS、ECI、ENI和IP类型的后端服务器,但一个服务器组中仅支持同一类型的后端服务器。 GWLB通过健康检查来判断后端服务器的可用性。GWLB探测服务器组中不健康的服务器,并避免将新的请求分发给不健康的服务器。GWLB支持丰富灵活的健康检查配置,如协议、端口以及各种健康检查阈值。 |
GWLB工作原理
GWLB需要与私网连接(PrivateLink)服务的GWLBe搭配使用,GWLBe是一种特殊类型的VPC终端节点,您可以通过GWLBe在业务VPC与安全VPC之间建立私网连接。GWLBe可通过PrivateLink将流量路由至安全VPC中的GWLB进行处理。
进出GWLBe的流量使用路由表进行控制。访问流量通过GWLBe路由至GWLB,经过后端网络虚拟设备检测过滤后,再次被路由回相应的GWLBe,最终转发至应用端。
GWLB使用IP全端口监听,可将访问流量透明地转发到IP监听所关联的后端服务器组中。GWLB支持基于五元组(源IP、目的IP、传输协议、源端口、目的端口)、三元组(源IP、目的IP、传输协议)和二元组(源IP、目的IP)的一致性哈希算法来调度流量,GWLB会将同一特征的流量路由到相同后端网络虚拟设备中。
网络虚拟设备供应商
阿里云GWLB支持将各类第三方网络虚拟设备集成至后端服务器组中,以实现访问流量的检测和过滤。
应用场景
通过GWLB部署互联网边界防火墙
随着网络攻击手段的日益复杂,企业面临着多重安全威胁。为有效抵御网络风险攻击,构建高可用的防火墙集群至关重要。企业可以通过GWLB对流量进行集中管理,将所有进出流量导向防火墙集群进行深度检查与过滤,同时,GWLB还可以确保防火墙在多个可用区内的高可用性,有效避免单点故障对业务造成的不良影响。
通过GWLB部署NAT边界防火墙
NAT网关通常是云上资源访问互联网的网络出口。为应对复杂的网络安全挑战,企业可通过GWLB将所有经过NAT网关的流量集中至统一的管理层,从而确保所有出入互联网的请求都经过防火墙进行安全审核,以实现对流量的全面控制。
通过GWLB部署VPC边界防火墙
在同一地域内,多个VPC之间的云资源需要互通时,可以通过转发路由器TR将访问流量引导至GWLB,GWLB负责将访问流量分发至后端安全设备,以进行流量过滤,仅允许经过过滤的流量相互通信,从而提升网络的安全性。
创建网关型负载均衡GWLB
单击创建网关型负载均衡GWLB可立即前往GWLB产品购买页面。
部署和维护GWLB
注册阿里云账号后,您可以通过以下方式部署和维护GWLB:
网关型负载均衡GWLB控制台:具有交互式操作的Web服务页面。您可登录控制台完成GWLB实例的创建、使用或释放,具体操作,请参见创建和管理GWLB实例。
阿里云SDK:提供Java、Go、Python等多种编程语言的SDK。
OpenAPI开发者门户:提供快速检索接口、在线调用API和动态生成SDK示例代码等服务。