ELB, ACM

Question 1

Application LB
- протоколы
- какой endpoint имеет
- заголовки
- cross-zone LB фича
- deregistration delay фича
- dual-stack фича
- SNI фича

• особенности

Answer 1

• HTTP, HTTPS, WebSocket, gRPC
• static DNS name
• X-Forwarded-For для IP user’а
• cross-zone LB фича активирована по-умолчанию, бесплатна
• deregistration delay доступен
• dual stack доступен
• SNI доступен
• path-based routing, host-based routing, bi-directional streaming

Question 2

Network LB
- протоколы
- какой endpoint имеет
- заголовки
- cross-zone LB фича
- deregistration delay фича
- dual-stack фича
- SNI фича

• особенности

Answer 2

• TCP, UDP, TLS
• static DNS name, static IP
• НЕ поддерживает HTTP заголовки
• cross-zone LB фича выключена по-умолчанию, платная
• deregistration delay доступен
• dual stack доступен
• SNI доступен
• extreme performance

Question 3

Gateway LB keywords

Answer 3

• Security Virtual Appliances
• Packet Inspection System
• GENEVE protocol на порту 6081

Question 4

Load Balancer health-check’и могут быть FAILED,
даже если EC2 instance работает исправно.
В чём причины?

Answer 4

• endpoint для health-check’ов указан НЕ верно
• в EC2 security group’ах НЕ указаны SG Load Balancer’а

Question 5

Load Balancer пометил instance, как “unhealthy”
ASG НЕ заменила (НЕ терминировала) этот instance
В чём причина? Как исправить?

Answer 5

ASG имеет health-check type по-умолчанию, который НЕ подходит.
ASG должна иметь тип health-check’а “ELB-health-check-type”

Question 6

Что делает фича DualStack?
Как быть без неё?
Для какого LB она доступна?

Answer 6

DualStack - это фича ELB, которая даёт единую точку входа (URL endpoint) для запросов, использующих IPv4 и IPv6 протоколы

Без DualStack клиенты должны ЯВНО слать запрос на IPv4 endpoint
Или ЯВНО на IPv6 endpoint

Для ALB, NLB

Question 7

Зачем нужен PrivateLink?
Как это организовывается на двух сторонах?
Где и какой Load Balancer используется?
Какое другое решение есть и какой у него недостаток?

Answer 7

Чтобы соединить две VPC с overlapping IP адресами

Организация PrivateLink
- На стороне “клиента” (той VPC, которая шлёт запрос в другую VPC) используют VPC Gateway Interface (ENI)
- На стороне “сервера” (той VPC, которая принимает запрос от первой VPC) создаётся NLB

Другое решение VPC Peering
Но VPC Peering НЕ подходит, если есть overlapping IP адреса в этих двух VPC

Question 8

С какими TLS/SSL сертификатами может работать ALB?
С какими НЕ может?

Answer 8

Может только с сертификатами из
- ACM certificates
- 3-rd party certificates

НЕТ никаких
- self-signed certificates
- S3-stored certificates

Question 9

Какие сервисы нужны для настройки TLS/SSL сертификата?
Что такое PCA?

Answer 9

IAM & ACM
PCA - Private Certificate Authority (приватный сертификат для внутри-сетевых взаимодействий сервисов)

Question 10

Зачем нужен SNI?
Какой LB поддерживает?

Answer 10

Несколько SSL сертификатов (каждый для своей Target Group’ы) расположены в одном ELB
Initial SSL handshake
Поддерживают оба NLB, ALB