ইএলবি কি এডাব্লুএসে আউটবাউন্ড জবাব ট্র্যাফিকের পথ করে?

8

আমি সরকারী / বেসরকারী সাবনেটগুলির সাথে কোনও এডাব্লুএস ভিপিসিতে রাউটিং কীভাবে কাজ করে তা বোঝার চেষ্টা করছি।

পাবলিক সাবনেটের একটি ইএলবি এবং এনএটি এবং বেসরকারী সাবনেটে ওয়েব সার্ভারে অ্যামাজন দ্বারা প্রস্তাবিত হিসাবে আমার একটি সেটআপ রয়েছে। আমার কাছে http://blogs.aws.amazon.com/security/blog/tag/NAT অনুসারে সুরক্ষা গোষ্ঠীগুলি (এসজি) কনফিগার করা আছে এবং এটি সমস্ত প্রত্যাশার মতো কাজ করে। গ্রেট!

আমাজন ভিপিসি কনফিগারেশন সহ রেফারেন্স আর্কিটেকচার

আমি যা এখনও বুঝতে পারি না তা হল উপরোক্ত আর্কিটেকচারে কীভাবে এইচটিটিপি উত্তর ওয়েব সার্ভার উদাহরণ থেকে ফিরে আসে।

তাই HTTP- র মাধ্যমে পাবলিক ইন্টারনেটের মাধ্যমে একটি ওয়েব অনুরোধ আসে, 80 টি হিট করে ELB এবং ELB এটিকে ওয়েবসার্ভারের ব্যক্তিগত আইপিতে নিয়ে যায়, দুর্দান্ত। এখন ওয়েবসভারটির জবাব দিতে হবে। আমি যা বুঝি তার থেকে উত্তরটি অন্য একটি উচ্চতর টিসিপি পোর্টের (1024-65535) হয়ে যাবে। NAT এসজি কেবল 80 এবং 443 বন্দরগুলির মধ্যে বহিরাগত ট্র্যাফিকের অনুমতি দেয় So সুতরাং কীভাবে এই উত্তরটি পাবলিক ইন্টারনেটে ফিরে আসে। এটি NAT এর মধ্য দিয়ে যেতে পারে না। এর অর্থ কী এই উত্তরটি ELB এর মাধ্যমে ফিরে যেতে পারে। অ্যামাজন চিত্রটি ইএলবি ট্র্যাফিকের দিক নির্দেশক তীরকে দ্বি নির্দেশমূলক হিসাবে নির্দেশ করে না, বা ইএলবি নথিও জানিয়েছে না যে ইএলবি রাষ্ট্রীয় NAT এর মতো আচরণ করে। এটা কি পারে?

amazon-web-services  nat  amazon-vpc 
আলী
সূত্র

উত্তর:

11

চিত্রের তীরগুলি কেবল সংযোগ স্থাপনের দিক নির্দেশ করে - ট্রাফিক প্রবাহ নয়।

হ্যাঁ, রিটার্ন ট্রাফিক ELB দিয়ে ফিরে যায়।

তবে, এটি রাষ্ট্রীয় NAT নয় - এটি একটি টিসিপি সংযোগের প্রক্সি। ELB মেশিনগুলি কনফিগার করা শ্রবণ পোর্টগুলিতে TCP সংযোগ গ্রহণ করে, যদি কনফিগার করা থাকে তবে এসএসএল সেশনটি সমাপ্ত করে এবং ব্যাক-এন্ড সার্ভারে একটি নতুন টিসিপি সংযোগ স্থাপন করে। যদি শ্রোতা এইচটিটিপি-র জন্য কনফিগার করা থাকে তবে ইএলবি পে-লোড-সচেতন মোডে পার্সিং, লগিং এবং HTTP অনুরোধগুলি ব্যাক-এন্ডে প্রেরণ করে, অন্যথায় এটি পে-লোড-অজোনস্টিক, ব্যাক-এন্ডে একটি নতুন টিসিপি সংযোগ 1: 1 স্থাপন করে প্রতিটি আগত সংযোগের জন্য এবং "পাইপগুলিকে এক সাথে বেঁধে রাখার জন্য" (কোনও HTTP- স্তর সচেতনতা বা কোনও পরিবর্তন ছাড়াই)

যে কোনও উপায়ে, আপনার অ্যাপ্লিকেশনটিতে আগত সংযোগের উত্স ঠিকানাটি ELB নোডের হতে চলেছে, মূল ক্লায়েন্টের নয়। ক্লায়েন্টের কাছে ফিরে আসার জন্য প্রতিক্রিয়ার ট্র্যাফিকটি ইএলবিতে ফিরে আসে।

HTTP মোডে, ELBX-Forwarded-For শিরোনাম যুক্ত করে (বা এতে যুক্ত হয়) যাতে আপনার অ্যাপ্লিকেশনটি মূল ক্লায়েন্টের আইপি সনাক্ত করতে পারে, পাশাপাশি X-Forwarded-Proto: [ http | https ]ক্লায়েন্ট সংযোগটি এসএসএল ব্যবহার করে কিনা এবং X-Forwarded-Portফ্রন্ট-এন্ড পোর্টটি নির্দেশ করতে পারে তা নির্ধারণ করতে ।

আপডেট: উপরেরটি বোঝা ব্যালেন্সারের এক ধরণের বোঝায় যা এখন "ELB ক্লাসিক" বা ELB / 1.0 হিসাবে পরিচিত (এটি HTTP স্বাস্থ্য পরীক্ষার সাহায্যে প্রেরিত ব্যবহারকারী এজেন্ট স্ট্রিংয়ে পাওয়া যায়)।

নতুন লেয়ার balance ব্যালেন্সার, অ্যাপ্লিকেশন লোড ব্যালান্সার বা ইএলবি / ২.০ ট্র্যাফিক প্রবাহের ক্ষেত্রে একইভাবে কাজ করে। লেয়ার 4 ("স্বচ্ছ" টিসিপি) সক্ষমতা ALB থেকে সরানো হয়েছে এবং স্তর 7 বৈশিষ্ট্যগুলি উল্লেখযোগ্যভাবে বর্ধিত হয়েছে।

নেটওয়ার্ক লোড ব্যালেন্সার, সর্বশেষতম লোড ব্যালেন্সার একটি স্তর 3 ব্যালেন্সার r অন্য দুটি থেকে পৃথক, এটি গতিশীল NAT এর মতো আচরণ করে, কেবল ইনবাউন্ড (বাইরের উত্পন্ন) সংযোগগুলি পরিচালনা করে, উত্স-অ্যাড্রেসার + পোর্টটিকে EIP-অ্যাড্রে + পোর্টের মাধ্যমে ম্যাপিং-বেসরকারী-আইপি: অ্যাডে + পোর্ট - ইআইপি সহ "ব্যালেন্সার" এর সাথে আবদ্ধ - এবং অন্য দুটি ধরণের ভারসাম্যদাতার বিপরীতে, উদাহরণগুলি সর্বজনীন সাবনেটগুলিতে থাকা উচিত এবং এর জন্য তাদের নিজস্ব পাবলিক আইপি ব্যবহার করা উচিত।

ধারণামূলকভাবে বলতে গেলে, নেটওয়ার্ক লোড ব্যালেন্সারটি ইন্টারনেট গেটওয়ের আচরণটি পরিবর্তিত বলে মনে হচ্ছে - যা নিজেই একটি যৌক্তিক অবজেক্ট যা অক্ষম করা যায় না, প্রতিস্থাপন করতে পারে না বা কোনও অর্থবোধক অর্থে ব্যর্থতা অনুভব করে। এটি ELB এবং ALB এর বিপরীতে, যা আসলে "লুকানো" ইসি 2 দৃষ্টান্তগুলিতে কাজ করে। এনএলবি সমস্ত উপস্থিতি দ্বারা নেটওয়ার্ক অবকাঠামোতে কাজ করে।

মাইকেল - sqlbot
সূত্র
ধন্যবাদ। আপনি কি পে-লোড-সচেতন, পে-লোড-অজোনস্টিক মোডগুলিতে বিশদ বর্ণনা করতে পারেন? মূল সংযোগটি এসএসএলের উপরে ছিল কিনা তাও ওয়েবসার্ভার জানতে পারে?
আলী
আমি এই পয়েন্টগুলি সম্বোধন করার জন্য উত্তরে কিছু অতিরিক্ত তথ্য যুক্ত করেছি।
মাইকেল - স্কলবট
and unlike the other two types of balancers, the instances need to be on public subnets, and use their own public IPs for this. আমি এটা পড়ে খুব খুশি। আপনি এই তথ্য একটি রেফারেন্স প্রদান করতে পারেন?
ফিলিপ আলভারেজ
1
@ ফিলিপ অ্যালভারেজ যেমন দেখা যাচ্ছে যে পুরো ছবিটি যথেষ্ট জটিল। এটি সবচেয়ে স্বজ্ঞাত কনফিগারেশন হিসাবে, নেটওয়ার্ক লোড ব্যালেন্সারটি সত্যিকারের নেটওয়ার্ক অবকাঠামোর সাথে এমনভাবে সংহত করা হয়েছে যাতে এটি টিসিপি স্ট্রিমগুলি (সম্ভবতঃ নেটওয়ার্ক স্টেটের টেবিলগুলির মাধ্যমে) লক্ষ্য উদাহরণগুলি থেকে ক্যাপচার করে এবং সেগুলি পুনরায় লিখতে পারে এবং প্রত্যাশা অনুযায়ী কাজ করতে পারে এমনকি যদি দৃষ্টান্তগুলি এভাবে কনফিগার করা হয় না। টার্গেটের উদাহরণগুলির জন্য ভিপিসিতে ঘোষিত একটি ডিফল্ট রুট প্রয়োজন - এটি রিটার্ন প্যাকেটের জন্য অবজ্ঞা করা হয়, তবে এখনও উপস্থিত থাকতে হবে। ডিফল্ট রুটের অনুপস্থিতি একটি ব্ল্যাকহোল তৈরি করে।
মাইকেল - স্কেলবট
1

এনএলবি-র জন্য ডাব্লুএইচএস ডকুমেন্টেশন অনুসারে এটি স্তর স্তর নয় স্তর ৩। এছাড়াও ব্যাকএন্ড বা টার্গেট সার্ভারগুলি পাবলিক সাবনেটে থাকা প্রয়োজন হয় না। প্রকৃতপক্ষে লক্ষ্য গোষ্ঠীর আইপি ঠিকানা ব্যাপ্তি অবশ্যই নিম্নলিখিতগুলির মধ্যে একটি হতে হবে: নিম্নলিখিত সম্ভাব্য লক্ষ্য প্রকারগুলি নিম্নলিখিত:

উদাহরণস্বরূপ লক্ষ্যগুলি উদাহরণ আইডি দ্বারা নির্দিষ্ট করা হয়।

আইপি লক্ষ্যগুলি IP ঠিকানা দ্বারা নির্দিষ্ট করা হয়।

লক্ষ্য প্রকার আইপি হলে আপনি নিম্নলিখিত সিআইডিআর ব্লকগুলির মধ্যে একটি থেকে আইপি ঠিকানাগুলি নির্দিষ্ট করতে পারেন:

লক্ষ্য গোষ্ঠীর জন্য ভিপিসির সাবনেটস

10.0.0.0/8 (আরএফসি 1918)

100.64.0.0/10 (আরএফসি 6598)

172.16.0.0/12 (আরএফসি 1918)

192.168.0.0/16 (আরএফসি 1918)

গুরুত্বপূর্ণ

আপনি সর্বজনীন রাউটেবল আইপি ঠিকানাগুলি নির্দিষ্ট করতে পারবেন না।

আশা করি এটা কাজে লাগবে.

RBP
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.