ELB, ACM Flashcards
Application LB
- протоколы
- какой endpoint имеет
- заголовки
- cross-zone LB фича
- deregistration delay фича
- dual-stack фича
- SNI фича
- особенности
- HTTP, HTTPS, WebSocket, gRPC
- static DNS name
- X-Forwarded-For для IP user’а
- cross-zone LB фича активирована по-умолчанию, бесплатна
- deregistration delay доступен
- dual stack доступен
- SNI доступен
- path-based routing, host-based routing, bi-directional streaming
Network LB
- протоколы
- какой endpoint имеет
- заголовки
- cross-zone LB фича
- deregistration delay фича
- dual-stack фича
- SNI фича
- особенности
- TCP, UDP, TLS
- static DNS name, static IP
- НЕ поддерживает HTTP заголовки
- cross-zone LB фича выключена по-умолчанию, платная
- deregistration delay доступен
- dual stack доступен
- SNI доступен
- extreme performance
Gateway LB keywords
- Security Virtual Appliances
- Packet Inspection System
- GENEVE protocol на порту 6081
Load Balancer health-check’и могут быть FAILED,
даже если EC2 instance работает исправно.
В чём причины?
- endpoint для health-check’ов указан НЕ верно
- в
EC2security group’ах НЕ указаны SGLoad Balancer’а
Load Balancer пометил instance, как “unhealthy”
ASG НЕ заменила (НЕ терминировала) этот instance
В чём причина? Как исправить?
ASG имеет health-check type по-умолчанию, который НЕ подходит.
ASG должна иметь тип health-check’а “ELB-health-check-type”
Что делает фича DualStack?
Как быть без неё?
Для какого LB она доступна?
DualStack - это фича ELB, которая даёт единую точку входа (URL endpoint) для запросов, использующих IPv4 и IPv6 протоколы
Без DualStack клиенты должны ЯВНО слать запрос на IPv4 endpoint
Или ЯВНО на IPv6 endpoint
Для ALB, NLB
Зачем нужен PrivateLink?
Как это организовывается на двух сторонах?
Где и какой Load Balancer используется?
Какое другое решение есть и какой у него недостаток?
Чтобы соединить две VPC с overlapping IP адресами
Организация PrivateLink
- На стороне “клиента” (той VPC, которая шлёт запрос в другую VPC) используют VPC Gateway Interface (ENI)
- На стороне “сервера” (той VPC, которая принимает запрос от первой VPC) создаётся NLB
Другое решение VPC Peering
Но VPC Peering НЕ подходит, если есть overlapping IP адреса в этих двух VPC
С какими TLS/SSL сертификатами может работать ALB?
С какими НЕ может?
Может только с сертификатами из
- ACM certificates
- 3-rd party certificates
НЕТ никаких
- self-signed certificates
- S3-stored certificates
Какие сервисы нужны для настройки TLS/SSL сертификата?
Что такое PCA?
IAM & ACM
PCA - Private Certificate Authority (приватный сертификат для внутри-сетевых взаимодействий сервисов)
Зачем нужен SNI?
Какой LB поддерживает?
Несколько SSL сертификатов (каждый для своей Target Group’ы) расположены в одном ELB
Initial SSL handshake
Поддерживают оба NLB, ALB
