Развертывание SpringBoot в ECS — часть 1

Микросервисы — это общая тенденция, и их развертывание в облаке — главный фактор большинства современных проектов. Одним из важных факторов является нулевое время простоя в часы пик и простота его масштабирования. Мы расскажем, как докеризировать загрузочное приложение Spring и развернуть его в кластере ECS в частной подсети с балансировщиком нагрузки приложений в общедоступной подсети.

  1. Настройка сети VPC
  2. ЭКР
  3. Концепции ЭКС
  4. Создайте кластер ECS с Fargate
  5. Балансировщик нагрузки приложений
  6. Автоматическое масштабирование в ECS с помощью Apache Benchmark

Настройка VPC:

В этой статье мы обсудим настройку VPC с 2 частными подсетями и 2 публичными подсетями в 2 отдельных зонах доступности.

1

В приведенном выше дизайне VPC будет иметь частную подсеть в 2 зонах доступности, а общедоступные подсети также должны находиться в одной зоне доступности. Давайте пойдем с определениями в соответствии с диаграммой, а затем мы продолжим, как ее настроить.

Amazon VPC : VPC — это виртуальное частное облако, которое создает сетевой уровень для любых сервисов, которые мы запускаем в AWS. Он логически изолирует системы, создавая виртуальную сеть.

Интернет-шлюз : Как следует из названия, это шлюз в Интернет для всех ресурсов внутри VPC. Если какие-либо ресурсы в VPC хотят вызвать какие-либо службы или получить ресурсы из Интернета, им необходимо пройти через Интернет-шлюз.

НАКЛ : А список контроля доступа к сети (ACL) — это дополнительный уровень безопасности для вашего VPC, который действует как брандмауэр для контроля входящего и исходящего трафика одной или нескольких подсетей.

Подсети: Это диапазон IP-адресов, выделенных в сети VPC. AWS предоставляет возможность создания общедоступной подсети, доступной из Интернета, и частной подсети, недоступной из Интернета. Любые ресурсы в частной подсети защищены и недоступны из внешних источников. Следовательно, мы будем запускать все контейнеры и задачи ECS в частной подсети, тогда как Application Loadbalancer будет находиться в общедоступной подсети. Мы расскажем об этом подробнее на следующих слайдах.

Маршрутизатор: Маршрутизатор, также известный как таблица маршрутов, представляет собой набор правил, которые направляют трафик из одной подсети в другую. Каждая подсеть должна иметь одну и только одну таблицу маршрутов, в которой будет указано, куда направляется трафик.

NAT-шлюз: Преобразование сетевых адресов — это шлюз для ресурсов, запущенных в частной подсети, чтобы иметь возможность вызывать службы в Интернете. В основном это шлюз в интернет из частных подсетей. Однако обратное неверно, т.е. из Интернета вы не можете получить доступ к частным подсетям.

Хозяин бастиона: Сервер-бастион или хост-бастион создается в общедоступной подсети, чтобы можно было создать прокси-сервер для входа в экземпляры в частной подсети. Это безопасный способ подключения к экземплярам внутри частных подсетей.

Настройка VPC

  1. Создайте vpc и укажите диапазон CIDR как 10.0.0.0/16.

1

  1. Создайте 4 подсети: 2 общедоступные (10.0.1.0/16 и 10.0.2.0/16) и 2 частные (10.0.3.0/16 и 10.0.4.0/16)

10.0.1.0/16 и 10.0.3.0/16 должны находиться в одной зоне доступности.

10.0.2.0/16 и 10.0.4.0/16 должны находиться в одной зоне доступности.

  1. Создайте интернет-шлюз и подключите его к VPC.
  2. Создайте шлюз NAT со связанным с ним эластичным IP-адресом.
  3. Создайте 2 таблицы маршрутов, одну для общедоступной и одну для частной, и свяжите шлюз NAT с частной таблицей маршрутов и интернет-шлюзом с общедоступной таблицей маршрутов.

1 1

  1. Создайте 2 сетевых ACL, 1 частный и 1 общедоступный.

Public должен иметь входящие правила, как показано ниже:

1

Private должен иметь входящие правила, как показано ниже:

1

Теперь VPC настроен. Создайте узел-бастион в общедоступной подсети, а также свяжите его с группой безопасности-бастионом. В группе безопасности Bastion должна быть включена опция ssh для порта 22 и с вашего собственного IP-адреса. Также создайте экземпляр в частной подсети и частную группу безопасности, которая будет разрешать только ssh с портом 22 и источником в качестве группы безопасности бастиона. Это гарантирует, что пользователь сможет подключиться по ssh к частному экземпляру в этой частной подсети только через сервер-бастион.

В следующая статья мы будем развертывать экземпляр Fargate ECS в этом VPC с ALB.

Digiprove печатьАвторские права защищены Digiprove © 2019 Geeks 18

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *