Cloud Technology Blog

AWS Gateway Load Banancer 이하 GWLB 는 3rd party 어플라이언스와 융합을 목적으로 생성된 AWS 서비스 이다.

Gateway Load Balancer를 사용하면 방화벽, 침입 탐지 및 방지 시스템, 심층 패킷 검사 시스템과 같은 가상 어플라이언스를 배포, 확장 및 관리할 수 있습니다. 투명한 네트워크 게이트웨이(즉, 모든 트래픽에 대한 단일 진입 및 종료 지점)를 결합하고 수요에 따라 가상 어플라이언스를 조정하면서 트래픽을 분산합니다.

Gateway Load Balancer는 오픈 시스템 상호 연결(OSI) 모델의 세 번째 계층인 네트워크 계층에서 작동합니다. 모든 포트에서 모든 IP 패킷을 수신하고 리스너 규칙에 지정된 대상 그룹으로 트래픽을 전달합니다. 5튜플(TCP/UDP 흐름의 경우) 또는 3튜플(비 TCP/UDP 흐름의 경우)을 사용하여 특정 대상 어플라이언스에 대한 흐름의 연결을 유지합니다. Gateway Load Balancer 및 등록된 가상 어플라이언스 인스턴스는 포트 6081의 Geneve 프로토콜을 사용하여 애플리케이션 트래픽을 교환합니다.

Geneve Protocol 에 대한 설명은 아래 참고

https://datatracker.ietf.org/doc/html/rfc8926

https://www.redhat.com/ko/blog/what-geneve

GWLB 구성

GWLB는 아래와 같은 3개의 항목으로 구성된다

1. GWLB LB

2. GWLB Endpoint Service

3. GWLB Endpoint

간략하게 설명하자면, GWLB는 LB 이고, GWLB Endpoint Service 는 GWLB Endpoint 와 GWLB 를 이어주는 중간 매체라고 생각하면 된다. 생성 순서는 GWLB -> GWLB Service Endpoint -> GWLB Endpoint 가 된다.

GWLB 는 그냥 생성하면 되고, GWLB Service Endpoint 는 생성시 유형을 GWLB 로 선택하고, 생성한 GWLB를 추가하면 된다. GWLB Service Endpoint 를 생성하면 '서비스 이름' 이 나오는데 이 부분을 복사한 후 GWLB Endpoint 생성시 다른서비스 선택한다음 나타나는 '서비스 이름'에 해당 부분을 넣으면 생성 된다.

GWLB 구성 예시

아래그림과 같이 Subnet 1에 있는 Applicatons servers 에서 인터넷에 나가기전에 Security appliances 를 통해 인터넷에 가기위해서는 라우팅으로 조절이 필요하다. 반대로 인터넷에서 Subnet 1 에 있는 Applications servers 에 응답을 돌려보낼때도, Security appliances 를 통해 제어 되어야 한다.

1. 애플리케이션 서버가 있는 서브넷의 라우팅 테이블에는 애플리케이션 서버의 모든 트래픽을 Gateway Load Balancer 엔드포인트로 라우팅하는 항목이 있어야 합니다.

2. 인터넷 게이트웨이의 라우팅 테이블에는 애플리케이션 서버로 향하는 트래픽을 게이트웨이 로드 밸런서 엔드포인트로 라우팅하는 항목이 있어야 합니다. 게이트웨이 로드 밸런서 엔드포인트를 지정하려면 VPC 엔드포인트의 ID를 사용합니다.

3. 게이트웨이 로드 밸런서 엔드포인트가 있는 서브넷의 라우팅 테이블은 검사에서 반환되는 트래픽을 최종 목적지로 라우팅해야 합니다. 인터넷에서 시작된 트래픽의 경우 로컬 경로를 통해 해당 트래픽이 애플리케이션 서버에 도달하도록 합니다. 애플리케이션 서버에서 발생한 트래픽의 경우 모든 트래픽을 인터넷 게이트웨이로 라우팅하는 항목을 추가하십시오.

https://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/gateway/getting-started.html