亚马逊AWS官方博客
通过自定义域名 + SSL 的方式访问Amazon MQ for RabbitMQ
引言:
一般为了解决应用解耦,异步处理,流量削峰等问题,实现高性能,高可用,可伸缩和最终一致性的架构;我们会引入消息队列中间件来完善架构设计。
对于需要消息传递协议的应用程序,包括JMS、NMS、AMQP、STOMP、MQTT和WebSocket,Amazon提供了Amazon MQ。这是一个针对Apache ActiveMQ和RabbitMQ的托管消息代理服务,可以更轻松地在云中设置和操作消息代理。
Amazon MQ提供了两个托管代理部署连接选项:公共代理和私有代理。公共代理接收互联网可访问的IP地址,而私人代理仅从其专有网络子网中的相应CIDR范围接收私有IP地址。在某些情况下,出于安全目的,客户可能更愿意将代理放置在私有子网中,但也允许通过持久公共端点(例如其公司域的子域,如“mq”)访问代理。
这里介绍了如何在私有VPC中,通过Route53、NLB、ACM相结合,通过SSL的方式访问自定义域名指向的RabbitMQ代理。
- 部署在EC2/ECS/EKS中的客户端服务尝试使用自定义域名连接RabbitMQ Broker.
- 通过Route53将自定义域名解析到NLB的DNS domain。
- 客户端使用AWS证书管理器(ACM)提供的安全套接字层(SSL)证书创建到NLB的传输层安全(HTTPS/AMQPS)连接。
- NLB从目标组中选择一个健康的端点,并创建一个单独的SSL连接。这在客户端和代理之间提供了安全的端到端SSL加密消息传递。
一、前提
要构建此架构,首先您需要一个VPC,每个可用区域一个Private Subnet,以及一个用于堡垒主机的Public subnet(如果需要)。
本演示VPC使用10.1.0.0/16 CIDR范围。此外,您必须为您的MQ Broker创建自定义安全组。您必须设置此安全组,以允许从网络负载平衡器到RabbitMQ Broker的流量。安全组需要开放5671(AMQP端口)和443(web控制台端口)的流量。
二、创建AmazonMQ Broker
设置网络子网后,添加Amazon MQ代理:
- 在Amazon MQ主页上选择创建代理。
- 切换RabbitMQ旁边的单选按钮,然后选择Next。
- 选择单实例代理(用于开发环境)或集群部署(用于生产环境)的部署模式。
- 在配置设置中,指定代理名称和实例类型,以及管理员用户的用户名和密码。
- 确认代理引擎版本为9.16或更高版本,并将访问类型设置为私有访问。
- 选择您的VPC和子网,并选择刚创建的安全组。
- 按需选择版本升级及维护窗口,选择下一步并创建Broker。
三、获取RabbitMQ Broker的IP地址
在配置NLB的目标组之前,必须获取 Broker的IP地址。Amazon MQ在每个子网中创建一个VPC端点,其静态地址在删除代理之前不会更改。
- 导航到Broker的详细信息页面并滚动到连接面板。
- 查找EndPoint的完整域名,它的格式类似于broker-id.mq.region.amazonaws.com
- 在本地客户端上打开命令终端。
- 使用host(Linux)或nslookup(Windows)命令检索“A”记录值。
- 为以后的NLB配置步骤记录这些值。
四、配置负载平衡器的目标组
下一步配置负载平衡器的目标组。您使用代理的私有IP地址作为NLB的目标。创建一个目标组,将目标类型选择为IP,并确保为每个所需的端口以及您的代理所在的专有网络选择TLS协议。
五、创建网络负载平衡器
创建一个网络负载平衡器。端口5671(AMQP)上有TLS侦听器,将流量路由到代理的VPC和Subnet。您选择创建的目标组,为NLB和代理之间的连接选择TLS。为了允许客户端安全地连接到NLB,请为在Route53中注册的子域选择一个ACM证书(例如“mq.yourdomain.com”)。
要了解ACM证书设置,请在此处阅读有关该过程的更多信息。确保ACM证书在与NLB相同的区域中设置,或者该证书未显示在下拉菜单中。
六、配置Route53
最后,在Route53配置为在您选择的子域为NLB提供流量服务:
转到Route53托管区域并创建新的子域记录集,例如mq.test.youdomain.com,它与您先前创建的ACM证书相匹配。
在“类型”字段中,选择“A–IPv4地址”,然后为别名选择“是”。这允许您选择NLB作为别名目标。
从alias target菜单中选择刚刚创建的NLB并保存记录集。
现在,调用方可以在RabbitMQ连接字符串中使用自定义域名。此功能改善了开发人员的体验,并在重建集群时降低了操作成本。由于您在NLB的目标组中添加了多个VPC端点(每个子网一个),因此该解决方案具有多AZ冗余。
七、使用RabbitMQ客户端进程进行测试
整个过程可以使用任何RabbitMQ客户端进程进行测试。一种方法是启动Docker官方镜像并与本地客户端连接。服务文档还提供了用于验证、发布和订阅RabbitMQ通道的示例代码。
要登录到代理的RabbitMQ web控制台,有三个选项。根据安全组规则,仅允许来自专有网络内部的流量流向代理:
- 使用从公司网络到专有网络的VPN连接。许多客户使用此选项,但对于快速测试,有一种更简单、更具成本效益的方法。
- 通过路由53子域连接到代理的web控制台,这需要在现有NLB上创建单独的web控制台端口侦听器(443),并为代理创建单独的TLS目标组。
- 使用bastion主机将流量代理到web控制台。
八、总结
在本文中,您将在私有子网中构建一个高可用的Amazon MQ Broker。您可以通过将代理置于高度用可扩展的NLB之后来分层管理。并且通过Route53解析到NLB的方式,实现采用自定义域名+SSL的方式访问Amazon MQ Broker。