Network Load Balancer(NLB)
- NLB: 4계층 로드 밸런서(ALB: 7계층)
- TCP,UDP 트래픽을 다룸
- 초당 수백만건 요청 처리, 지연시간 짧음(ALB=400ms, NLB=100ms)
- 가용 영역별 하나의 고정IP를 가짐 -> 탄력적 IP를 각 AZ에 할당 가능.
=> 여러개의 고정 IP를 가진 애플리케이션을 노출할때 유용 - 프리티어 없음.
- ex) 1~3개의 IP로 액세스할 수 있는 애플리케이션을 만들어라
=> NLB 고려 - 고성능, TCP/UDP, 고정IP => NLB
NLB 타겟 그룹
- 타겟 그룹(중요)
- 인스턴스
인스턴스에 들어오는 TCP/UDP 트래픽을 리다이렉트 - IP 주소
- 조건
- 반드시 하드코딩 되어야 함
- 프라이빗 IP이어야 함.
- 이유
인스턴스의 프라잉빗 IP를 보낼 수 있지만 자체 데이터 센터 서버의 프라이빗 IP를 사용할 수도 있다.
둘다 같은 NLB를 앞에 사용할 수 있다.
- ALB
애플리케이션 로드 밸런서 앞에 네트워크 로들 밸런서를 사용할 수 있다.
왜?
-> NLB덕분에 고정IP 주소를 얻을 수 있고 ALB 덕분에 HTTP 유형의 트래픽을 처리하는 규칙을 얻을 수 있게 된다. - NLB 대상 그룹이 수행하는 '상태 확인'
지원 프로토콜: TCP, HTTP/HTTPS
해당 프로토콜에 대한 상태 확인을 정의할 수 있다.
- 인스턴스
Gateway Load Balancer(GWLB)
- GWLB: 배포 및 확장과 AWS의 타사 네트워크 가상 어플라이언스의 플릿 관리
-
기능: 네트워크 트래픽을 분석
-
GWLB는 네트워크 계층(L3)에서 실행되어 다른 로드밸런서들 보다 낮은 수준에서 실행된다.
1. 투명 네트워크 게이트웨이
VCP의 모든 트래픽이 GWLB가 되는 단일 엔트리 출구를 통과
2. 대상 그룹의 가상 어플라이언스 집합에 전반적으로 트래픽을 분산해 로드 밸런서 된다.
* 시험볼때 6081 포트의 GENEVE 프로토콜 사용해라
(appliance)
특정한 목적이나 기능을 위해 만들어진 최적화된 컴퓨터나 정보 기기
(fleet)
한 세트의 스팟 인스턴스에 선택적으로 온디맨드 인스턴스를 조합해 사용하는 방식 -
네트워크의 모든 트래픽이 방화벽을 통과하게 하거나 침입 탐지/방지 시스템에 사용
ex) 네트워크 레벨에서 IDPS, 심층 패킷 분석 시스템, 일부 페이로드 수정 -
사용자 -> GWLB -> 대상 그룹 -> GWLB -> 매플리케이션
사용자가 애플리케이션에 접근하려할때 트래픽은 ALB와 애플리케이션으로 바로 이동하게 된다.
하지만 그전에 모든 트래픽을 검사하려면?
- GWLB를 생성하면 VPC에서 라우팅 테이블이 업데이트된다.
- 사용자의 모든 트래픽이 GWLB를 거쳐 타사 가상 어플라이언스(대상 그룹)에 트래픽을 분산
- 모든 트래픽이 어플라이언스에 도달하면 어플라이언스는 트래픽을 분석하고 처리(ex: 방화벽, 침입탐지/방지)
4-1 이상이 없을 시 다시 GWLB로 보내 트래픽을 애플리케이션으로 보냄
4-2 이상이 있을 시 트래픽을 드롭(ex: 방화벽)
-> 애플리케이션은 분명하게 모든 트래픽이 GWLB와 타사 가상 어플라이언스를 통과해 모든 네트워크 트래픽을 분석하고 드롭 시킬 수 있다.
-
GWLB의 타겟 그룹
- 타겟 그룹
- 타사 어플라이언스
- 인스턴스: 인스턴스 ID로 등록
- IP 주소: 개인 IP여야 함.
ex) 자체 네트워크, 자체 데이터 센터에서 가상 어플라이언스를 실행하면 IP로 수동 등록 할 수 있다.
- 타사 어플라이언스
- ALB와 마찬가지로 NLB도 인바운드 규칙에 IP대신 보안그룹을 설정할 수 있다.
