Gateway Load Balancer
Der Gateway-Lastverteiler ist eine SKU des Azure Lastenausgleich-Portfolios, das für Szenarien mit hoher Leistung und Verfügbarkeit mit virtuellen Netzwerkgeräten von Drittanbietern (Network Virtual Appliances, NVAs) konzipiert ist. Mit den Funktionen des Gateway-Lastverteilers können Sie NVAs problemlos bereitstellen, skalieren und verwalten. Verkettung eines Gatewaylastenausgleichs mit Ihrem öffentlichen Endpunkt erfordert nur eine Auswahl.
Sie können Appliances für verschiedene Arten von Szenarien transparent einfügen, beispielsweise:
- Firewalls
- Erweiterte Paketanalyse
- Angriffserkennungs- und Schutzsysteme
- Datenverkehrsspiegelung
- DDoS-Schutz
- Benutzerdefinierte Appliances
Mit dem Gatewaylastenausgleich können Sie ohne zusätzlichen Verwaltungsaufwand problemlos erweiterte Netzwerkfunktionen hinzufügen oder entfernen. Er bietet die Technologie, die Sie benötigen, um sicherzustellen, dass der gesamte Datenverkehr zu und von einem öffentlichen Endpunkt vor Ihrer Anwendung zuerst an die Appliance gesendet wird. In Szenarien mit NVAs ist es besonders wichtig, dass Flows symmetrisch sind. Der Gateway Lastverteiler sorgt dafür, dass der Datenfluss an eine bestimmte Instanz im Backend-Pool gebunden bleibt und die Datenflüsse symmetrisch sind. Daher wird eine konsistente Route zu Ihrem virtuellen Netzwerkgerät sichergestellt – ohne weitere manuelle Konfiguration. Daher durchlaufen Pakete den gleichen Netzwerkpfad in beide Richtungen, und Appliances, die diese benötigen, können nahtlos funktionieren.
Der Integritätstest überprüft sämtliche Ports und leitet Datenverkehr mithilfe der Regel für Ha-Ports an die Back-End-Instanzen weiter. Datenverkehr, der an den und vom Gateway-Lastverteiler gesendet wird, verwendet das VXLAN-Protokoll.
Vorteile
Der Gateway-Lastverteiler hat die folgenden Vorteile:
Integriert virtuelle Geräte transparent in den Netzwerkpfad.
Einfaches Hinzufügen oder Entfernen virtueller Netzwerkgeräte im Netzwerkpfad.
Einfache Skalierung bei gleichzeitiger Kostenverwaltung.
Verbessern der Verfügbarkeit virtueller Netzwerkgeräte.
Mandanten- und abonnementübergreifendes Verketten von Anwendungen
Konfiguration und unterstützte Szenarien
Eine öffentliche Instanz von Load Balancer Standard oder die IP-Standardkonfiguration eines virtuellen Computers kann mit Gateway-Load Balancer verkettet werden. Der Begriff „Verketten“ bezieht sich auf die Front-End- oder NIC-IP-Konfiguration des Lastenausgleichs, die einen Verweis auf eine Front-End-IP-Konfiguration des Gatewaylastenausgleichs enthält. Sobald der Gatewaylastenausgleich mit einer Consumerressource verkettet ist, sind keine zusätzlichen Konfigurationen wie UDRs erforderlich, um sicherzustellen, dass Datenverkehr zum und vom Anwendungsendpunkt an den Gatewaylastenausgleich gesendet wird.
Der Gatewaylastenausgleich unterstützt die Überprüfung des eingehende und des ausgehenden Datenverkehrs. Um NVAs in den Pfad des ausgehenden Datenverkehrs mit Standardlastenausgleich einzufügen, muss der Gatewaylastenausgleich mit der in den konfigurierten ausgehenden Regeln ausgewählten Front-End-IP-Konfigurationen verkettet werden.
Datenpfaddiagramm
Beim Gatewaylastenausgleich wird Datenverkehr, der für die Consumeranwendung über einen Standardlastenausgleich vorgesehen ist, mit VXLAN-Headern gekapselt und zuerst an den Gatewaylastenausgleich und die konfigurierten NVAs im Back-End-Pool weitergeleitet. Der Datenverkehr kehrt dann zur Consumerressource zurück (in diesem Fall ein Standardlastenausgleich) und kommt bei den virtuellen Maschinen der Consumeranwendung mit der erhaltenen Quell-IP-Adresse an. Das virtuelle Consumernetzwerk und das virtuelle Anbieternetzwerk können zwischen verschiedenen Abonnements oder Mandanten bestehen, wodurch Verwaltungsaufwand reduziert wird.
Diagramm des Gateway-Lastverteilers.
Komponenten
Der Gateway Lastverteiler besteht aus den folgenden Komponenten:
Front-End-IP-Konfiguration – die IP-Adresse Ihres Gateway-Lastverteilers. Diese IP-Adresse ist nur privat.
Lastenausgleichsregeln – Mithilfe einer Lastenausgleichsregel wird definiert, wie eingehender Datenverkehr auf alle Instanzen innerhalb des Back-End-Pools verteilt werden soll. Eine Lastenausgleichsregel ordnet mehreren Back-End-IP-Adressen und Ports eine bestimmte Front-End-IP-Konfiguration und einen Port zu.
Gateway-Lastverteiler Regeln können nur Regeln für Ha-Ports sein.
Eine Gateway-Lastverteiler Regel kann bis zu zwei Back-End-Pools zugeordnet werden.
Back-End-Pools: Die Gruppe virtueller Computer oder Instanzen in einer VM-Skalierungsgruppe, die die eingehenden Anforderungen bearbeitet. Für eine kosteneffiziente Skalierung zur Bewältigung großer Mengen an eingehendem Datenverkehr empfiehlt es sich in der Regel, dem Back-End-Pool weitere Instanzen hinzuzufügen. Die Konfiguration von Load Balancer wird automatisch angepasst, wenn Sie Instanzen hoch- oder herunterskalieren. Durch Hinzufügen bzw. das Entfernen virtueller Computer aus dem Back-End-Pool wird der Lastenausgleich ohne zusätzliche Vorgänge neu konfiguriert. Der Back-End-Pool wird für jeden beliebigen virtuellen Computer in einem einzelnen virtuellen Netzwerk verwendet.
Tunnel Schnittstellen – Gateway-Lastverteiler Back-End-Pools verfügen über eine weitere Komponente, die als Tunnelschnittstellen bezeichnet wird. Mit der Tunnelschnittstelle können die Appliances im Back-End sicherstellen, dass Netzwerkflows wie erwartet verarbeitet werden. Jeder Back-End-Pool kann über bis zu 2 Tunnelschnittstellen verfügen. Tunnel Schnittstellen können entweder intern oder extern sein. Für Datenverkehr, der in Ihren Back-End-Pool eingeht, sollten Sie den externen Typ verwenden. Für Datenverkehr, der von Ihrer Appliance an die Anwendung geht, sollten Sie den internen Typ verwenden.
Kette: Auf Gateway Load Balancer kann vom Front-End einer öffentlichen Instanz von Load Balancer oder einer öffentlichen IP-Standardkonfiguration auf einem virtuellen Computer verwiesen werden. Das Hinzufügen erweiterter Netzwerkfunktionen in einer bestimmten Sequenz wird als Dienstverkettung bezeichnet. Daher wird dieser Verweis als Kette bezeichnet. Eine mandantenübergreifende Kette umfasst das Verketten der Front-End-Konfiguration oder der öffentlichen IP-Konfiguration eines Load Balancer mit einem Gateway Load Balancer, der sich in einem anderen Abonnement befindet. Für mandantenübergreifende Verkettung benötigen Benutzer Folgendes:
- Berechtigung für den Ressourcenanbietervorgang
Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action
. - Gastzugriff auf das Abonnement des Gateway Load Balancer.
- Berechtigung für den Ressourcenanbietervorgang
Preise
Preisinformationen finden Sie unter Load Balancer – Preise.
Einschränkungen
- Gateway-Lastverteiler gibt es nicht im Tarif Allgemeiner Lastverteiler.
- Die mandantenübergreifende Verkettung wird im Azure-Portal nicht unterstützt.
Nächste Schritte
- Informationen zum Erstellen eines Gateway-Lastverteilers finden Sie unter Erstellen eines Gateways-Lastverteilers mithilfe des Azure-Portals.
- Erfahren Sie, wie Sie den Gatewaylastenausgleich für ausgehende Verbindungsszenarien verwenden.
- Weitere Informationen zu Azure Load Balancer.