AWS Gateway Load Balancer のご紹介 — パートナーアプライアンスの簡単なデプロイ、スケーラビリティ、高可用性

昨年、Virtual Private Cloud (VPC) Ingress Routing を立ち上げ、インターネットゲートウェイ (IGW) または Virtual Private Gateway (VGW) との間のすべての着信および発信トラフィックを、特定の Amazon Elastic Compute Cloud (EC2) インスタンスの Elastic Network Interface にルーティングできるようにしました。 VPC Ingress Routing を使用して、 VPC を設定し、すべてのトラフィックを EC2 インスタンスに送信します。EC2 インスタンスは、通常ネットワークセキュリティツールを実行して、疑わしいネットワークトラフィックを検査またはブロックしたり、トラフィックを他の EC2 インスタンスに中継する前に他のネットワークトラフィック検査を実行したりします。

これにより、ネットワークへのアプライアンスの追加が簡単になりますが、高可用性と拡張性の確保は依然として課題として残ってます。お客様はピーク時の負荷と高可用性を処理するためにアプライアンスを過剰にプロビジョニングするか、トラフィックに基づいてアプライアンスを手動でスケールアップ/ダウンするか、その他の補助ツールを使用する必要があります。いずれにしても、運用オーバーヘッドとコストが増加につながります。

本日、AWS Gateway Load Balancer（GWLB）の一般提供を発表します。これは、クラウド上のファイアウォール、侵入検出と防止システム、ディープパケットインスペクションシステムなどのサードパーティの仮想アプライアンスの可用性を簡単かつ費用効果の高い方法で、デプロイ、スケーリング、管理できるようにするサービスです。 。GWLB はセキュリティアプライアンスに加えて、データ分析、テレコム、モノのインターネット (IoT)、カスタムアプライアンスにも同様のメリットを提供します。APN パートナーや AWS Marketplace パートナーは、規模、可用性、サービス提供といった複雑な問題を解決することなく、仮想アプライアンスを AWS のお客様にサービス（VAaaS）として提供することもできます。

AWS Gateway Load Balancer — その仕組み
Gateway Load Balancer は、透過的なネットワークゲートウェイ（すべてのトラフィックに対して 1 つのエントリポイントと出口ポイント）と、トラフィックを分散し、需要に応じて仮想アプライアンスをスケーリングするロードバランサーを組み合わせます。

VPC のルートテーブルで簡単な設定更新を行うことで、トラフィックを GWLB に送信できます。GWLB を使用すると、仮想アプライアンスのフリート間でトラフィックの負荷分散を行うことで、仮想アプライアンスを自在にスケーリングできます。GWLB はトラフィックフローを正常な仮想アプライアンスを介してルーティングすることで、可用性を向上させ、アプライアンスが異常になったときにフローを再ルーティングします。

GWLB を使用すると、AWS 内で選択した独自のアプライアンスを使用し、スキルセットと既存のプロセスを維持しながら、GWLB を使用してスケールと可用性のニーズを管理できます。また、仮想アプライアンスのフリート間でトラフィックの負荷分散を行うことで、仮想アプライアンスを伸縮自在にスケーリングすることもできます。アプライアンスをスケールアップ/ダウンすることで、コストを削減できます。GWLB がトラフィックフローの両方向を同じアプライアンスに送信するため、アプライアンスはステートフルトラフィック処理を実行できます。

GWLB と仮想アプライアンスは、GENEVE カプセル化を使用してアプリケーショントラフィックを相互に交換します。これにより、GWLB は元のトラフィックの内容を保持できます。GWLB は AWS Gateway Load Balancer エンドポイント（GWLBE）を使用します。 AWS PrivateLink を使用した、この新しいタイプの VPC エンドポイントは、ルートテーブルのネクストホップにすることができます。これにより、VPC 境界をまたいでアプライアンスサービスの挿入が簡単になります。

たとえば、顧客のワークロードを配置した Customer VPC を作成できます。この VPC には、GWLB エンドポイントがデプロイされます。AWS パートナーのアプライアンスは Partner VPC にデプロイされます。

アプライアンスプロバイダーとコンシューマーは、異なる AWS アカウントと VPC に存在することができます。GWLBE により、アプライアンスの統合、セキュリティポリシーの一貫性、オペレータエラーの削減、トラフィックのシームレスな検査が可能になります。トラフィックの発信元や送信先を変更したり、NAT 変換をしたりする必要はありません。

高可用性を確保するには、GWLB の高度なルーティング機能を使用して、トラフィックを正常なアプライアンスにだけ送信し、障害によってアプライアンスが異常になった時にトラフィックを再ルーティングできます。GWLB は VPC とユーザーアカウント全体で機能するため、仮想アプライアンスのフリートを一元化するオプションを提供しています。ユーザーアカウント全体で GWLB を利用できる機能により、パートナーは顧客が VPC からアクセスできる AWS ホストサービスとして仮想アプライアンスを提供できます。これにより、複雑さが軽減され、セキュリティが向上します。

AWS Gateway Load Balancer — はじめに
GWLB を作成するには、EC2 コンソールの [Load Balancing] メニューの [Load Balancer Wizard] で、AWS Gateway Load Balancer の [作成] ボタンを選択します。

GWLB を設定するには、名前を指定し、VPC とサブネットの選択を確認し、ロードバランサーで有効にするアベイラビリティーゾーンを指定します。[次へ : ルーティングの設定] を選択します。

GWLB は、デフォルトで GENEVE プロトコルと 6081 ポートを使用して、このターゲットグループ内のターゲットにリクエストをルーティングします。「次へ:ターゲットの登録」を選択します。

Partner VPC にある EC2 インスタンスを登録し、次のステップで [次へ: 確認] 、次に [作成] を選択します。

仮想アプライアンスソフトウェアを使用して EC2 インスタンスのセキュリティグループを設定する場合、GWLB からのトラフィックを取得するための GENEVE ポート 6081 とヘルスチェック用の HTTP ポート 80 を追加できます。

クライアントからのトラフィックを GWLB の背後にあるアプライアンスに転送するには、GWLB エンドポイント（GWLBE）を設定します。アベイラビリティーゾーンごとに少なくとも 2 つのサブネットが必要です。GWLBE サブネットとアプリケーションサブネットそれぞれに 1 つ、AZごとに 2 つのルーティングテーブル（GWLBe サブネットとアプリケーションサブネットにそれぞれ 1 つ）、および VPC 内の IGW に関連付けられた Ingress ルートテーブルが 1 つ必要です。

AWS コマンドラインインターフェイス（CLI）を使用して AWS Gateway Load Balancer エンドポイントを作成するには、 create-vpc-endpoint-service-configuration コマンドを使用して、Gateway Load Balancer を使用してエンドポイントサービス設定を作成します。

$ aws ec2-gwlb create-vpc-endpoint-service-configuration \
               --gateway-load-balancer-arns <provider_gwlb_arn> \
               --no-acceptance-required

create-vpc-endpoint コマンドを使用して、サービスの AWS Gateway Load Balancer エンドポイントを作成します。

$ aws ec2-gwlb create-vpc-endpoint \
               --vpc-endpoint-type GatewayLoadBalancer \
	       --vpc-id <consumer-vpc-id> \
	       --subnet-ids <consumer-gwlbe-subnet-id>

次に、ルートテーブルを編集して、アプリケーション/インスタンスおよびインターネットゲートウェイで customer-client-rtb と consumer-igw-rtb のネクストホップとして GWLBE を追加します。各ゾーンのアプリケーションサブネットルートテーブルごとに繰り返します。

$ aws ec2 create-route --route-table-id <customer-instance-rtb> \
          --destination-cidr-block 0.0.0.0/0 --vpc-endpoint-id <vpce-id>
$ aws ec2 create-route --route-table-id <consumer-gwlbe-rtb-id> \
          --destination-cidr-block 10.0.0.32/28 --vpc-endpoint-id <vpce-id>
$ aws ec2 create-route --route-table-id <consumer-gwlbe-rtb-id> \ 
          --destination-cidr-block 10.0.0.64/28 --vpc-endpoint-id <vpce-id>

セットアップの詳細については、 以下の完全な手順としてデモ動画をご覧ください 。

1. AWS Marketplace でパートナーの仮想アプライアンスソフトウェアを見つける
2. VPC でアプライアンスインスタンスを起動する
3. アプライアンスインスタンスを使用して、GWLB とターゲットグループを作成する
4. トラフィックを検査する必要のある GWLB エンドポイントを作成する
5. ルートテーブルを更新して GWLB エンドポイントをネクストホップとして作成する

GWLBパートナーズ
このローンチ時点で、AWS GWLB は、Aviatrix、Check Point、Cisco、CPacket、Glasnostic、Fortinet、Hashicorp、Netscout、Palo Alto Networks、Radware、トレンドマイクロ、Valtix など 業界をリードする多数のパートナーと統合しています。パートナーはたくさんの有益なフィードバックを提供してくれました。パートナーが書いたブログ記事の一部を以下に示し、経験を共有します (公開されているリンクを使用してこの記事を更新しています)。

GWLB を使用すると、AWS パートナーは、仮想アプライアンスを SaaS として使用し、ソリューションの可用性、負荷分散、クラウドスケーリングを個別に解決しなくても、AWS のお客様に多数のマネージドサービスを提供できます。GWLB に統合するには、アプライアンスで GENEVE プロトコルをサポートし、GWLB メタデータをデコード/エンコードするソフトウェアを実装し、AWS 環境でアプライアンスの相互運用性テストを実行します。詳細については、AWS パートナーチームにお問い合わせください。

今すぐご利用いただけます
AWS Gateway AWS Gateway Load Balancer は 、 米国東部（バージニア北部）、米国西部（オレゴン）、ヨーロッパ（アイルランド） 、、titletitle南米（サンパウロ） リージョンとアジアパシフィック（シドニー） リージョンがあり、AWS Marketplaceで AWS パートナーの仮想アプライアンスを見つけることができます。Amazon EC2 の AWS フォーラム、または通常の AWS サポートの連絡先からフィードバックをお寄せください。さらに詳細については、ドキュメントをご覧ください。

— Channy;