Вопрос. Какие операционные системы поддерживает Application Load Balancer? Application Load Balancer поддерживает целевые объекты с любой операционной системой, которую в настоящее время поддерживает сервис Amazon EC2. Вопрос. Какие протоколы поддерживает Application Load Balancer? Application Load Balancer поддерживает распределение нагрузки на приложения с помощью протоколов HTTP и HTTPS (Secure HTTP). Вопрос. Поддерживает ли Application Load Balancer протокол HTTP/2? Да. В Application Load Balancer имеется встроенная поддержка протокола HTTP/2. Клиенты, которые поддерживают HTTP/2, могут подключаться к Application Load Balancer по TLS. Вопрос. Какие TCP-порты можно использовать для балансировки нагрузки? Применить распределение нагрузки можно к следующим портам TCP: 1–65535. Вопрос. Поддерживает ли Application Load Balancer протокол WebSocket? Да. В Application Load Balancer имеется встроенная поддержка и готовность к использованию протоколов WebSocket и Secure WebSocket. Вопрос. Поддерживает ли Application Load Balancer отслеживание запросов? Да. Функция отслеживания запросов по умолчанию включена в Application Load Balancer. Вопрос. Будут ли мои существующие балансировщики нагрузки (Classic Load Balancer) обладать всеми возможностями и преимуществами, которые есть у Application Load Balancer? Хотя некоторые совпадения присутствуют, мы не планируем поддерживать одинаковые возможности для этих двух типов балансировщиков нагрузки. Балансировщики Application Load Balancer будут являться основой нашей платформы балансировки нагрузки на прикладном уровне в будущем. Вопрос. Можно ли настроить инстансы Amazon EC2 на прием трафика только от балансировщиков Application Load Balancer? Да. Вопрос. Можно ли настроить группу безопасности для пользовательского интерфейса Application Load Balancer? Да. Вопрос. Можно ли использовать существующие API, которые применяются с Classic Load Balancer, для работы с Application Load Balancer? Нет. Для Application Load Balancer требуется новый набор API. Вопрос. Как одновременно управлять Application Load Balancer и Classic Load Balancer? Консоль ELB позволяет управлять Application Load Balancer и Classic Load Balancer из одного интерфейса. При использовании интерфейса командной строки или SDK необходимо будет использовать для Application Load Balancer другой указатель сервиса Например, в интерфейсе командной строки вы будете описывать свои Classic Load Balancer с помощью «aws elb describe-load-balancers», а свои балансировщики Application Load Balancer – с помощью «aws elbv2 describe-load-balancers». Вопрос. Можно ли преобразовать существующий балансировщик Classic Load Balancer в Application Load Balancer (и наоборот)? Нет, преобразовать один тип балансировщика нагрузки в другой нельзя. Вопрос. Можно ли перейти с Classic Load Balancer на Application Load Balancer? Да. Перейти на Application Load Balancer с Classic Load Balancer можно с помощью одного из вариантов, приведенных в этом документе. Вопрос. Можно ли использовать Application Load Balancer в качестве балансировщика нагрузки уровня 4? Если требуются возможности уровня 4, следует использовать Network Load Balancer. Вопрос. Можно ли использовать один балансировщик Application Load Balancer для обработки запросов HTTP и HTTPS? Да. Можно добавить получателей HTTP-порта 80 и HTTPS-порта 443 к одному Application Load Balancer. Вопрос. Можно ли получить журнал всех вызовов API Application Load Balancing для моего аккаунта с целью анализа уровня безопасности и устранения эксплуатационных неполадок? Да. Чтобы получить журнал всех вызовов API Application Load Balancing для своего аккаунта, используйте сервис AWS CloudTrail. Вопрос. Поддерживает ли Application Load Balancer терминацию HTTPS-подключений? Да, на Application Load Balancer можно выполнить HTTPS-терминацию. Для этого на балансировщике нагрузки должен быть установлен сертификат SSL. Балансировщик нагрузки использует этот сертификат для завершения подключения, а затем дешифрует запросы от клиентов перед отправкой в целевые объекты. Вопрос. Какие шаги надо выполнить, чтобы получить сертификат SSL? Для получения сертификата SSL/TLS можно использовать сервис AWS Certificate Manager или создать запрос на получение сертификата из других источников. Затем необходимо подписать сертификат в центре сертификации и загрузить его с помощью сервиса AWS Certification Manager или AWS Identity and Access Management (IAM). Вопрос. Как обеспечена интеграция Application Load Balancer с сервисом AWS Certificate Manager (ACM)? Application Load Balancer интегрирован с сервисом AWS Certificate Manager (ACM). Интеграция с ACM позволяет очень легко привязать сертификат к балансировщику нагрузки, тем самым сильно упрощая весь процесс выгрузки SSL. Процесс приобретения, загрузки и обновления сертификатов SSL/TLS является длительным, сложным и требует ручной работы. Интеграция ACM с Application Load Balancer сводит весь процесс к запросу доверенного сертификата SSL/TLS и затем выбору сертификата ACM для распределения его балансировщику нагрузки. Вопрос. Поддерживает ли Application Load Balancer аутентификацию внутренним сервером? Нет. Application Load Balancer поддерживает только шифрование для серверов. Вопрос. Как включить расширение Server Name Indication (SNI) для Application Load Balancer? SNI включается автоматически, если с одним обработчиком событий безопасности на балансировщике нагрузки связано несколько сертификатов TLS. Аналогичным образом режим SNI для обработчика событий безопасности отключается автоматически, если с этим обработчиком связан только один сертификат. Вопрос. Можно ли связать с обработчиком событий безопасности несколько сертификатов для одного домена? Да, с обработчиком событий безопасности можно связать несколько сертификатов для одного домена. Это позволяет связать, к примеру, следующее:
(а) сертификаты ECDSA и RSA;
(б) сертификаты с разными размерами ключей (например, 2К и 4К) для сертификатов SSL/TLS;
(в) однодоменные, многодоменные (SAN) сертификаты и сертификаты с использованием шаблонов подстановки. Вопрос. Поддерживает ли Application Load Balancer протокол IPv6? Да. Протокол IPv6 поддерживается балансировщиком Application Load Balancer. Вопрос. Как осуществить настройку правил в Application Load Balancer? Можно настроить правила для каждого из получателей, настроенных для балансировщика нагрузки. Правила включают в себя условие и соответствующее действие, если это условие выполнено. Условием будет путь URL службы (например, /img), а действием будет перенаправление. После настройки правил балансировщик нагрузки будет использовать эти правила для определения сервиса, к которому запрос должен быть направлен. Вопрос. Имеются ли ограничения ресурсов для Application Load Balancer? В вашем аккаунте AWS установлены эти ограничения для Application Load Balancer. Вопрос: Как можно защитить от сетевых атак интернет-приложения, находящиеся за пределами балансировщика нагрузки? Application Load Balancer можно интегрировать с AWS WAF, который обеспечивает защиту от атак, позволяя задавать различные правила на основе IP-адресов, заголовков HTTP и специальных строк URI. На основании созданных правил AWS WAF выполняет блокировку, разрешение или отслеживание (подсчет) сетевых запросов, направленных в адрес интернет‑приложения. Подробнее об этом см. в руководстве по AWS WAF для разработчиков. Вопрос. Можно ли выполнять балансировку нагрузки на произвольный IP-адрес? Можно использовать любой IP-адрес из диапазона CIDR VPC в качестве целевого объекта балансировщика нагрузки в VPC и любой IP-адрес из диапазонов RFC 1918 (10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16) или диапазона RFC 6598 (100.64.0.0/10) для целевых объектов, расположенных за пределами VPC балансировщика нагрузки (например, целевые объекты в VPC с пиринговым подключением, в инстансах EC2 Classic и в локальных местоположениях, доступных через подключения AWS Direct Connect или VPN). Вопрос. Как можно балансировать нагрузку на приложения, распределенные между VPC и локальной средой? Есть несколько способов настройки гибридной балансировки нагрузки. Если приложение выполняется на целевых объектах, распределенных между VPC и локальной средой, их можно добавить в одну и ту же целевую группу, используя соответствующие IP-адреса. Чтобы перейти на AWS без ущерба для работы приложения, постепенно добавляйте в целевую группу цели VPC и удаляйте из нее локальные цели. Если у вас есть два разных приложения, причем целевые объекты одного приложения находятся в VPC, а целевые объекты других приложений находятся в локальной среде, можно поместить цели VPC в одну целевую группу, а локальные цели – в другую целевую группу и использовать маршрутизацию на основе контента для направления трафика в каждую целевую группу. Можно также применять отдельные балансировщики нагрузки для VPC и локальных целевых объектов и использовать весовой коэффициент DNS для достижения взвешенной балансировки нагрузки между VPC и локальными целевыми объектами. Вопрос. Каким образом можно балансировать нагрузку для инстансов EC2-Classic? Балансировать нагрузку для инстансов EC2-Classic при регистрации в качестве целей их идентификаторов нельзя. Однако если связать эти инстансы EC2-Classic с VPC балансировщика нагрузки с помощью ClassicLink и использовать частные IP-адреса этих инстансов в качестве целей, можно балансировать нагрузку и для инстансов EC2-Classic. Если в настоящий момент вы используете инстансы EC2 Classic с Classic Load Balancer, можно легко перейти на Application Load Balancer. Вопрос. Как можно включить балансировку нагрузки между зонами доступности в Application Load Balancer? Балансировка нагрузки между зонами доступности в Application Load Balancer включена по умолчанию. Вопрос. Когда следует выполнять аутентификацию пользователей с помощью интеграции Application Load Balancer с Amazon Cognito, а когда – с использованием встроенной поддержки поставщиков удостоверений OpenID Connect (IODC) в Application Load Balancer? Аутентификацию через Amazon Cognito следует использовать в следующих случаях. а) Вы хотите предоставить пользователям возможность аутентифицироваться через поставщиков социальных удостоверений (Google, Facebook и Amazon), корпоративных удостоверений (SAML) или через собственные каталоги пользователей в форме Amazon Cognito User Pool. b) Вы управляете несколькими поставщиками удостоверений, включая OpenID Connect, и хотите создать единое правило аутентификации в Application Load Balancer, которое Amazon Cognito сможет использовать для федерации нескольких поставщиков удостоверений. c) Вы хотите активно управлять профилями пользователей с одним или несколькими социальными поставщиками или поставщиками удостоверений OpenID Connect из единого центра. Например, можно распределить пользователей по группам и добавить настраиваемые атрибуты, чтобы отражать состояние пользователя и контролировать доступ для платных пользователей. В отличие от перечисленных вариантов, если вы инвестировали в разработку собственных решений IdP и просто хотите проводить аутентификацию пользователей через единый поставщик удостоверений, совместимый с OpenID Connect, вам подойдет использование встроенного решения OIDC в Application Load Balancer. Вопрос. Какой тип перенаправления поддерживает ALB? Балансировщик поддерживает три типа перенаправлений.