elastic load balancing - docs.aws.amazon.com€¦ · elastic load balancing network load balancers...
TRANSCRIPT
Elastic Load BalancingNetwork Load Balancers
Elastic Load Balancing Network Load Balancers
Elastic Load Balancing: Network Load BalancersCopyright © 2021 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.
Elastic Load Balancing Network Load Balancers
Table of Contents¿Qué es un Balanceador de carga de red? ............................................................................................ 1
Balanceador de carga de redComponentes de ................................................................................ 1Balanceador de carga de redInformación general de ........................................................................ 1Beneficios de migrar desde unaClassic Load Balancer ..................................................................... 2Cómo empezar .......................................................................................................................... 3Pricing ...................................................................................................................................... 3
Introducción ....................................................................................................................................... 4Antes de empezar ...................................................................................................................... 4Paso 1: Elegir un tipo de balanceador de carga .............................................................................. 4Paso 2: Configurar un balanceador de carga y un agente de escucha ................................................ 5Paso 3: Configurar un grupo de destino ......................................................................................... 5Paso 4: Registrar destinos con el grupo de destino ......................................................................... 5Paso 5: Crear y probar el balanceador de carga ............................................................................. 6Paso 6: Eliminar el balanceador de carga (opcional) ........................................................................ 6
Primeros pasos con AWS CLI .............................................................................................................. 7Antes de empezar ...................................................................................................................... 7Crear el balanceador de carga ..................................................................................................... 7Especificar una dirección IP elástica para el balanceador de carga ..................................................... 8Eliminar el balanceador de carga .................................................................................................. 8
Balanceadores de carga ...................................................................................................................... 9Estado del balanceador de carga .................................................................................................. 9Atributos del balanceador de carga ............................................................................................... 9Tipo de dirección IP .................................................................................................................. 10Zonas de disponibilidad ............................................................................................................. 10
Balance de carga entre zonas ............................................................................................ 11Protección contra eliminación ..................................................................................................... 12Tiempo de inactividad de conexión .............................................................................................. 12Nombre de DNS ....................................................................................................................... 13Crear un balanceador de carga de .............................................................................................. 14
Paso 1: Configurar un balanceador de carga y un agente de escucha ....................................... 14Paso 2: Configurar un grupo de destino ................................................................................. 5Paso 3: Registrar destinos con el grupo de destino ................................................................ 15Paso 4: Crear el balanceador de carga ................................................................................ 16
Actualizar el tipo de dirección ..................................................................................................... 16Actualización de etiquetas .......................................................................................................... 17Eliminar un balanceador de carga de ........................................................................................... 18
Agentes de escucha .......................................................................................................................... 19Configuración del agente de escucha .......................................................................................... 19Reglas del agente de escucha .................................................................................................... 20Crear un agente de escucha ...................................................................................................... 20
Prerequisites .................................................................................................................... 20Añadir un agente de escucha ............................................................................................. 20
Configurar los agentes de escucha TLS ....................................................................................... 21Certificados de servidor ..................................................................................................... 21Políticas de seguridad ....................................................................................................... 23Políticas de ALPN ............................................................................................................. 26
Actualizar un agente de escucha ................................................................................................ 26Actualizar un agente de escucha TLS .......................................................................................... 27
Reemplazar el certificado predeterminado ............................................................................ 27Añadir certificados a la lista de certificados ........................................................................... 28Quitar certificados de la lista de certificados .......................................................................... 28Actualizar la política de seguridad ....................................................................................... 29Actualizar la política de ALPN ............................................................................................. 29
Eliminar un agente de escucha ................................................................................................... 30
iii
Elastic Load Balancing Network Load Balancers
Grupos de destino ............................................................................................................................ 31Configuración de direccionamiento .............................................................................................. 31Target type (Tipo de objetivo) ..................................................................................................... 32
Request routing and IP addresses ....................................................................................... 33Source IP preservation ...................................................................................................... 33
Destinos registrados .................................................................................................................. 34Atributos del grupo de destino .................................................................................................... 34Retardo de anulación del registro ................................................................................................ 35Proxy Protocol .......................................................................................................................... 36
Conexiones de comprobación de estado .............................................................................. 36Servicios de punto de conexión de la VPC ........................................................................... 36Habilitar Proxy Protocol ..................................................................................................... 37
Sesiones rápidas ...................................................................................................................... 37Create a target group ................................................................................................................ 38Configurar comprobaciones de estado ......................................................................................... 40
Configuración de comprobaciones de estado ........................................................................ 41Estado del destino ............................................................................................................ 42Códigos de motivo de comprobación de estado ..................................................................... 43Comprobación del estado de los destinos ............................................................................. 44Modificar la configuración de comprobación de estado de un grupo de destino ............................ 45
Register targets ........................................................................................................................ 45Grupos de seguridad de destino ......................................................................................... 46ACL de red ...................................................................................................................... 47Registro o anulación del registro de destinos ........................................................................ 48
Actualización de etiquetas .......................................................................................................... 50Eliminar un grupo de destino ...................................................................................................... 51
Monitorizar los balanceadores de carga ............................................................................................... 53CloudWatchMétricas de ............................................................................................................. 54
Métricas del balanceador de carga de red ............................................................................ 54Dimensiones de métricas de Network Load Balancers ............................................................ 60Estadísticas de las métricas de Balanceador de carga de red .................................................. 60Visualización de las métricas de CloudWatch en el balanceador de carga .................................. 61
Logs de acceso ........................................................................................................................ 62Archivos de registro de acceso ........................................................................................... 63Entradas de los registros de acceso .................................................................................... 63Requisitos del bucket ........................................................................................................ 65Habilitar el registro de acceso ............................................................................................. 66Deshabilitar el registro de acceso ........................................................................................ 67Procesamiento de archivos de registro de acceso .................................................................. 67
CloudTrailRegistros de ............................................................................................................... 67Elastic Load BalancingInformación de en CloudTrail ............................................................... 68Descripción de las entradas de los archivos de registro de Elastic Load Balancing ....................... 68
Troubleshooting ................................................................................................................................ 71A registered target is not in service ............................................................................................. 71Requests are not routed to targets .............................................................................................. 71Targets receive more health check requests than expected ............................................................. 72Targets receive fewer health check requests than expected ............................................................. 72Unhealthy targets receive requests from the load balancer .............................................................. 72Target fails HTTP or HTTPS health checks due to host header mismatch .......................................... 72Connections time out for requests from a target to its load balancer .................................................. 72Performance decreases when moving targets to a Balanceador de carga de red ................................. 73Port allocation errors connecting through AWS PrivateLink .............................................................. 73
Cuotas ............................................................................................................................................ 74Historial de revisión ........................................................................................................................... 75................................................................................................................................................... lxxvii
iv
Elastic Load Balancing Network Load BalancersBalanceador de carga de redComponentes de
¿Qué es un Balanceador de carga dered?
Elastic Load Balancing distribuye automáticamente el tráfico entrante entre varios destinos, por ejemplo,instancias EC2, contenedores y direcciones IP en una o varias zonas de disponibilidad. Se supervisael estado de los destinos registrados en ellos y direcciona el tráfico solo a los destinos en buen estado.Elastic Load Balancing escala el balanceador de carga a medida que cambia el tráfico entrante con eltiempo. Puede escalarse automáticamente para adaptarse a la mayoría de las cargas de trabajo.
Elastic Load Balancing admite los siguientes balanceadores de carga: Application Load Balancers, NetworkLoad Balancers, balanceadores de carga de gateway y Classic Load Balancers. Puede seleccionar el tipode balanceador de carga que mejor se adapte a sus necesidades. En esta guía, se explican los NetworkLoad Balancers. Para obtener más información sobre los demás balanceadores de carga, consulte laGuía del usuario de Application Load Balancers, la User Guide for Gateway Load Balancers y la Guía delusuario de Classic Load Balancers.
Balanceador de carga de redComponentes deUn balanceador de carga sirve como único punto de contacto para los clientes. El balanceador decarga distribuye el tráfico entrante entre varios destinos, como instancias Amazon EC2 Esto aumenta ladisponibilidad de la aplicación. Puede agregar uno o varios agentes de escucha al balanceador de carga.
Un agente de escucha comprueba las solicitudes de conexión de los clientes mediante el protocolo y elpuerto que haya configurado y reenvía las solicitudes a un grupo de destino.
Cada grupo de destino direcciona las solicitudes a uno o varios destinos registrados, como instanciasEC2, utilizando el protocolo TCP y el número de puerto que especifique. Puede registrar un destino envarios grupos de destino. Puede configurar las comprobaciones de estado de cada grupo de destino. Lascomprobaciones de estado se llevan a cabo en todos los destinos registrados en un grupo de destinoespecificado en la regla del agente de escucha del balanceador de carga.
Para obtener más información, consulte la documentación siguiente:
• Balanceadores de carga (p. 9)• Agentes de escucha (p. 19)• Grupos de destino (p. 31)
Balanceador de carga de redInformación general deUn Balanceador de carga de red actúa como la cuarta capa del modelo de interconexión de sistemasabiertos (OSI). Puede atender millones de solicitudes por segundo. Una vez que el balanceador decarga ha recibido una solicitud de conexión, selecciona un destino en el grupo de destino para la reglapredeterminada. Intenta abrir una conexión TCP con el destino seleccionado en el puerto especificado enla configuración del agente de escucha.
Cuando se habilita una zona de disponibilidad para el balanceador de carga, Elastic Load Balancingcrea en ella un nodo de balanceador de carga. De manera predetermina, cada nodo del balanceadorde carga distribuye el tráfico entre los destinos registrados en su zona de disponibilidad solamente.
1
Elastic Load Balancing Network Load BalancersBeneficios de migrar desde unaClassic Load Balancer
Si habilita el balanceo de carga entre zonas, cada nodo del balanceador de carga distribuye el tráficoequitativamente entre los destinos registrados en todas las zonas de disponibilidad habilitadas. Paraobtener más información, consulte Zonas de disponibilidad (p. 10).
Si habilita varias zonas de disponibilidad para el equilibrador de carga y se asegura de que cada grupode destino tiene al menos un destino en cada zona de disponibilidad habilitada, aumentará la tolerancia aerrores de las aplicaciones. Por ejemplo, si uno o varios grupos de destino no tienen un destino en buenestado en una zona de disponibilidad, se quita del DNS la dirección IP de la subred correspondiente, perolos nodos del balanceador de carga de las demás zonas de disponibilidad siguen estando disponibles paradirigir el tráfico. Si un cliente no respeta el tiempo de vida (TTL) y envía solicitudes a la dirección IP unavez que se ha eliminado de DNS, las solicitudes producen errores.
Para el tráfico TCP, el balanceador de carga selecciona un destino utilizando un algoritmo hash de flujo, enfunción del protocolo, la dirección IP de origen, el puerto de origen, la dirección IP de destino, el puerto dedestino y el número de secuencia TCP. Las conexiones TCP desde un cliente tienen distintos puertos deorigen y números de secuencia y se pueden dirigir a diferentes destinos. Cada conexión TCP individual sedirige a un único destino durante la conexión.
Para el tráfico UDP, el balanceador de carga selecciona un destino utilizando un algoritmo hash de flujo,en función del protocolo, la dirección IP de origen, el puerto de origen, la dirección IP de destino y el puertode destino. Un flujo UDP tiene el mismo origen y destino, por lo que se redirige siempre a un único destinodurante su vida útil. Los flujos UDP distintos tienen puertos y direcciones IP de origen diferentes, por lo quese pueden dirigir a destinos distintos.
Elastic Load Balancing crea una interfaz de red para cada zona de disponibilidad que habilita. Cada nodode balanceador de carga de la zona de disponibilidad utiliza esta interfaz de red para obtener una direcciónIP estática. Al crear un balanceador de carga expuesto a Internet, puede asociar una dirección IP elásticapor cada subred.
Al crear un grupo de destino, debe especificar su tipo de destino, lo que determina si los destinos seregistran por ID de instancia o por dirección IP. Si registra los destinos por ID de instancia, las direccionesIP de origen de los clientes se conservan y se proporcionan a sus aplicaciones. Si registra los destinos pordirección IP, las direcciones IP de origen son las direcciones IP privadas de los nodos del balanceador decarga.
Puede agregar y eliminar destinos del balanceador de carga en función de sus necesidades sin interrumpirel flujo general de solicitudes a la aplicación. Elastic Load Balancing escala el balanceador de cargaa medida que cambia el tráfico dirigido a la aplicación y es capaz de adaptarse automáticamente a lamayoría de cargas de trabajo. Elastic Load Balancing puede escalarse automáticamente para adaptarse ala mayoría de las cargas de trabajo.
Puede configurar las comprobaciones de estado, que se utilizan para monitorizar el estado de los destinosregistrados, de tal forma que el balanceador de carga solo pueda enviar solicitudes a los destinos en buenestado.
Para obtener más información, consulte Cómo funciona Elastic Load Balancing en la Guía del usuario deElastic Load Balancing.
Beneficios de migrar desde unaClassic LoadBalancer
Usar un Balanceador de carga de red en lugar de un Classic Load Balancer presenta los siguientesbeneficios:
• Capacidad para gestionar cargas de trabajo volátiles y escalar hasta millones de solicitudes porsegundo.
2
Elastic Load Balancing Network Load BalancersCómo empezar
• Compatibilidad con direcciones IP estáticas para el balanceador de carga. También puede asignar unadirección IP elástica por subred habilitada para el balanceador de carga.
• Compatibilidad con el registro de destinos por dirección IP, incluidos los destinos situados fuera de laVPC para el balanceador de carga.
• Compatibilidad con el direccionamiento de solicitudes a varias aplicaciones en una sola instancia EC2.Puede registrar cada instancia o dirección IP con el mismo grupo de destino utilizando varios puertos.
• Compatibilidad con las aplicaciones en contenedores. Amazon Elastic Container Service (Amazon ECS)permite seleccionar un puerto no utilizado al programar una tarea y registrarla en un grupo de destinomediante este puerto. De este modo, puede hacer un uso eficiente de los clústeres.
• Compatibilidad con la monitorización independiente del estado de cada servicio, pues lascomprobaciones de estado se definen para cada grupo de destino y muchas métricas de AmazonCloudWatch se notifican también para cada grupo de destino. Si adjunta un grupo de destino a un grupode Auto Scaling, podrá escalar cada servicio dinámicamente en función de la demanda.
Para obtener más información sobre las características admitidas por cada tipo de balanceador de carga,consulte Comparaciones de productos para Elastic Load Balancing.
Cómo empezarPara crear un Balanceador de carga de red, pruebe con uno de los siguientes tutoriales:
• Introducción a Network Load Balancers (p. 4)• Tutorial: Creación de un Balanceador de carga de red mediante laAWS CLI (p. 7)
Para ver demostraciones de configuraciones del balanceador de carga, consulte Demostraciones deElastic Load Balancing.
PricingPara obtener más información, consulte Precios de Balanceador de carga de red.
3
Elastic Load Balancing Network Load BalancersAntes de empezar
Introducción a Network LoadBalancers
En este tutorial, encontrará una introducción práctica sobre el uso de Network Load Balancers a través dela Consola de administración de AWS, una interfaz web. Para crear su primer Balanceador de carga dered, siga los pasos que se describen a continuación.
Tareas• Antes de empezar (p. 4)• Paso 1: Elegir un tipo de balanceador de carga (p. 4)• Paso 2: Configurar un balanceador de carga y un agente de escucha (p. 5)• Paso 3: Configurar un grupo de destino (p. 5)• Paso 4: Registrar destinos con el grupo de destino (p. 5)• Paso 5: Crear y probar el balanceador de carga (p. 6)• Paso 6: Eliminar el balanceador de carga (opcional) (p. 6)
Para ver demostraciones de configuraciones del balanceador de carga, consulte Demostraciones deElastic Load Balancing.
Antes de empezar• Decida qué zonas de disponibilidad va a utilizar con las instancias EC2. Configure la nube virtual privada
(VPC) con al menos una subred pública en cada una de estas zonas de disponibilidad. Estas subredespúblicas se utilizan para configurar el balanceador de carga. Puede lanzar las instancias EC2 en otrassubredes de estas zonas de disponibilidad en su lugar.
• Lance al menos una instancia EC2 en cada zona de disponibilidad. Asegúrese de que los grupos deseguridad de estas instancias permiten el acceso mediante TCP de los clientes del puerto del agentede escucha y las solicitudes de comprobación de estado procedentes de la VPC. Para obtener másinformación, consulte Grupos de seguridad de destino (p. 46).
Paso 1: Elegir un tipo de balanceador de cargaElastic Load Balancing admite diferentes tipos de balanceadores de carga. En este tutorial, va a crear unBalanceador de carga de red.
Para crear una Balanceador de carga de red
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En la barra de navegación, elija una región para el balanceador de carga. No olvide elegir la misma
región que utilizó con las instancias EC2.3. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.4. Elija Create Load Balancer.
4
Elastic Load Balancing Network Load BalancersPaso 2: Configurar un balanceadorde carga y un agente de escucha
5. En Balanceador de carga de red, elija Create (Crear).
Paso 2: Configurar un balanceador de carga y unagente de escucha
En la página Configure Load Balancer, complete el siguiente procedimiento.
Para configurar el balanceador de carga y el agente de escucha
1. En Name, escriba un nombre para el balanceador de carga.
El nombre del Balanceador de carga de red debe ser único en el conjunto de Application LoadBalancers y Network Load Balancers de la región, puede tener un máximo de 32 caracteres, solopuede contener caracteres alfanuméricos y guiones, no puede comenzar ni terminar por un guion y nopuede comenzar por "internal-".
2. En Scheme (Esquema) y IP address type (Tipo de dirección IP), mantenga los valorespredeterminados.
3. En Listeners, mantenga el valor predeterminado, que es un agente de escucha que acepta tráfico TCPen el puerto 80.
4. En Availability Zones (Zonas de disponibilidad), seleccione la VPC que utilizó para las instancias EC2.En cada una de las zonas de disponibilidad que utilizó para lanzar las instancias EC2, seleccione lazona de disponibilidad y después seleccione una subred pública de esa zona de disponibilidad.
De forma predeterminada, AWS asigna una dirección IPv4 a cada nodo del balanceador de carga dela subred para su zona de disponibilidad. De forma alternativa, cuando crea un balanceador de cargaexpuesto a Internet, puede seleccionar una dirección IP elástica para cada zona de disponibilidad.Esto proporciona al balanceador de carga direcciones IP estáticas.
5. Elija Next: Configure Routing (Siguiente: Configuración del enrutamiento).
Paso 3: Configurar un grupo de destinoCree el grupo de destino que se va a utilizar para el direccionamiento de solicitudes. La regla del agente deescucha direcciona las solicitudes a los destinos registrados en este grupo de destino. El balanceador decarga comprueba el estado de los destinos del grupo utilizando las opciones de comprobación de estadodefinidas en el grupo de destino. En la página Configure Routing (Configurar enrutamiento), complete elsiguiente procedimiento.
Para configurar el grupo de destino
1. Para Target group (Grupo de destino), mantenga el valor predeterminado, New target group (Nuevogrupo de destino).
2. En Name, escriba un nombre para el nuevo grupo de destino.3. Mantenga Protocol como TCP, Port como 80 y Target type como instance.4. En Health checks (Comprobaciones de estado), deje el protocolo predeterminado.5. Elija Next: Register Targets (Siguiente: Registrar destinos).
Paso 4: Registrar destinos con el grupo de destinoEn la página Register Targets, complete el siguiente procedimiento.
5
Elastic Load Balancing Network Load BalancersPaso 5: Crear y probar el balanceador de carga
Para registrar destinos en el grupo de destino
1. En Instances (Instancias), seleccione una o varias instancias.2. Mantenga el puerto predeterminado, 80, y elija Add to registered.3. Cuando haya terminado de seleccionar instancias, elija Next: Review.
Paso 5: Crear y probar el balanceador de cargaAntes de crear el balanceador de carga, revise la configuración. Después de crear el balanceador decarga, compruebe que se puede enviar tráfico a las instancias EC2.
Para crear y probar el balanceador de carga
1. En la página Review (Revisar), elija Create (Crear).2. Una vez que se le notifique que el balanceador de carga se ha creado correctamente, elija Close.3. En el panel de navegación, en LOAD BALANCING, elija Target Groups.4. Seleccione el grupo de destino que se acaba de crear.5. Elija Targets (Destinos) y verifique que las instancias estén listas. Si el estado de una instancia es
initial, puede deberse a que la instancia sigue en proceso de registro o no ha superado el númeromínimo de comprobaciones de estado para que se considere correcta. Cuando el estado de al menosuna instancia sea healthy, podrá probar el balanceador de carga.
6. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.7. Seleccione el balanceador de carga recién creado.8. Elija Description (Descripción) y copie el nombre DNS del balanceador de carga (por ejemplo, mi-
balanceador-de-carga-1234567890abcdef.elb.us-east-2.amazonaws.com). Pegue el nombre DNSen el campo de direcciones de un navegador web que esté conectado a Internet. Si todo funcionanormalmente, el navegador mostrará la página predeterminada del servidor.
Paso 6: Eliminar el balanceador de carga (opcional)Tan pronto como un balanceador de carga está disponible, se le facturará por cada hora u hora parcialque se mantenga en ejecución. Cuando ya no necesite un balanceador de carga, puede eliminarlo. Tanpronto como se elimina el balanceador de carga, dejan de acumularse cargos por él. Tenga en cuentaque, cuando se elimina un balanceador de carga, los destinos registrados con él no se ven afectados. Porejemplo, las instancias EC2 seguirán en ejecución.
Para eliminar el balanceador de carga
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga y elija Actions, Delete.4. Cuando se le indique que confirme, seleccione Yes, Delete.
6
Elastic Load Balancing Network Load BalancersAntes de empezar
Tutorial: Creación de un Balanceadorde carga de red mediante laAWS CLI
En este tutorial, encontrará una introducción práctica acerca de cómo crear Network Load Balancers através de la AWS CLI.
Antes de empezar• Instale la AWS CLI o actualice a la versión actual de la AWS CLI si está utilizando una versión que
no admite Network Load Balancers. Para obtener más información, consulte Instalación de la AWSCommand Line Interface en la AWS Command Line Interface Guía del usuario.
• Decida qué zonas de disponibilidad va a utilizar con las instancias EC2. Configure la nube virtual privada(VPC) con al menos una subred pública en cada una de estas zonas de disponibilidad.
• Lance al menos una instancia EC2 en cada zona de disponibilidad. Asegúrese de que los grupos deseguridad de estas instancias permiten el acceso mediante TCP de los clientes del puerto del agentede escucha y las solicitudes de comprobación de estado procedentes de la VPC. Para obtener másinformación, consulte Grupos de seguridad de destino (p. 46).
Crear el balanceador de cargaPara crear el primer balanceador de carga, siga los pasos que se describen a continuación.
Para crear un balanceador de carga
1. Utilice el comando create-load-balancer para crear un balanceador de carga especificando una subredpública para cada zona de disponibilidad en la que ha lanzado instancias. Puede especificar solo unasubred por zona de disponibilidad.
aws elbv2 create-load-balancer --name my-load-balancer --type network --subnets subnet-0e3f5cac72EXAMPLE
El resultado contiene el nombre de recurso de Amazon (ARN) del balanceador de carga con elsiguiente formato:
arn:aws:elasticloadbalancing:us-east-2:123456789012:loadbalancer/net/my-load-balancer/1234567890123456
2. Utilice el comando create-target-group para crear un grupo de destino especificando la misma VPCque ha usado para las instancias EC2:
aws elbv2 create-target-group --name my-targets --protocol TCP --port 80 --vpc-id vpc-0598c7d356EXAMPLE
El resultado contiene el ARN del grupo con este formato:
arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/1234567890123456
7
Elastic Load Balancing Network Load BalancersEspecificar una dirección IP elástica
para el balanceador de carga
3. Utilice el comando register-targets para registrar las instancias con el grupo de destino:
aws elbv2 register-targets --target-group-arn targetgroup-arn --targets Id=i-1234567890abcdef0 Id=i-0abcdef1234567890
4. Utilice el comando create-listener para crear un agente de escucha del balanceador de carga con unaregla predeterminada que reenvíe las solicitudes al grupo de destino:
aws elbv2 create-listener --load-balancer-arn loadbalancer-arn --protocol TCP --port 80 \--default-actions Type=forward,TargetGroupArn=targetgroup-arn
El resultado contiene el ARN del agente de escucha con el siguiente formato:
arn:aws:elasticloadbalancing:us-east-2:123456789012:listener/net/my-load-balancer/1234567890123456/1234567890123456
5. (Opcional) Puede comprobar el estado de los destinos registrados en el grupo de destino con estecomando describe-target-health:
aws elbv2 describe-target-health --target-group-arn targetgroup-arn
Especificar una dirección IP elástica para elbalanceador de carga
Al crear un Balanceador de carga de red, puede especificar una dirección IP elástica para cada subredutilizando un mapeo de subred.
aws elbv2 create-load-balancer --name my-load-balancer --type network \--subnet-mappings SubnetId=subnet-0e3f5cac72EXAMPLE,AllocationId=eipalloc-12345678
Eliminar el balanceador de cargaCuando ya no necesite el balanceador de carga ni el grupo de destino, puede eliminarlos tal y como seindica a continuación:
aws elbv2 delete-load-balancer --load-balancer-arn loadbalancer-arnaws elbv2 delete-target-group --target-group-arn targetgroup-arn
8
Elastic Load Balancing Network Load BalancersEstado del balanceador de carga
Network Load BalancersUn balanceador de carga sirve como único punto de contacto para los clientes. Los clientes envía lassolicitudes al balanceador de carga y este se las envía a los destinos, tales como las instancias EC2, enuna o más zonas de disponibilidad.
Para configurar el balanceador de carga, debe crear grupos de destino (p. 31) y, a continuación,registrar los destinos en los grupos de destino. El balanceador de carga es más eficaz si se asegura deque cada zona de disponibilidad habilitada tenga al menos un destino registrado. También puede crearagentes de escucha (p. 19) para comprobar las solicitudes de conexión de los clientes y direccionar lassolicitudes de los clientes a los destinos de los grupos de destino.
Los Network Load Balancers admiten las conexiones de clientes a través de una interconexión con VPC,de VPN administradas por AWS, AWS Direct Connect y de soluciones de VPN de terceros.
Contenido• Estado del balanceador de carga (p. 9)• Atributos del balanceador de carga (p. 9)• Tipo de dirección IP (p. 10)• Zonas de disponibilidad (p. 10)• Protección contra eliminación (p. 12)• Tiempo de inactividad de conexión (p. 12)• Nombre de DNS (p. 13)• Creación de un Balanceador de carga de red (p. 14)• Tipos de direcciones IP para suBalanceador de carga de red (p. 16)• Etiquetas para su Balanceador de carga de red (p. 17)• Eliminación de un Balanceador de carga de red (p. 18)
Estado del balanceador de cargaUn balanceador de carga puede encontrarse en uno de los siguientes estados:
provisioning
El balanceador de carga se está configurando.active
El balanceador de carga se ha configurado completamente y está listo para direccionar el tráfico.failed
El balanceador de carga no se han podido configurar.
Atributos del balanceador de cargaA continuación se indican los atributos del balanceador de carga:
9
Elastic Load Balancing Network Load BalancersTipo de dirección IP
deletion_protection.enabled
Indica si está habilitada la protección contra eliminación (p. 12). El valor predeterminado es false.load_balancing.cross_zone.enabled
Indica si está habilitado el balanceo de carga entre zonas (p. 11). El valor predeterminado esfalse.
Tipo de dirección IPPuede establecer los tipos de direcciones IP que los clientes pueden utilizar con el balanceador de cargaexpuesto a Internet. El balanceador de carga solo debe tener agentes de escucha TCP y TLS. Los clientesdeben usar direcciones IPv4 con balanceadores de carga internos.
Los siguientes son los tipos de direcciones IP:
ipv4
Los clientes deben conectarse al balanceador de carga mediante direcciones IPv4 (por ejemplo,192.0.2.1)
dualstack
Los clientes pueden conectarse al balanceador de carga mediante direcciones IPv4 (por ejemplo,192.0.2.1) y direcciones IPv6 (por ejemplo, 2001:0db8:85a3:0:0:8a2e:0370:7334).
Cuando habilita el modo de doble pila para el balanceador de carga, Elastic Load Balancing proporcionaun registro DNS AAAA para el balanceador de carga. Los clientes que se comunican con el balanceadorde carga mediante direcciones IPv4 resuelven el registro DNS A. Los clientes que se comunican con elbalanceador de carga mediante direcciones IPv6 resuelven el registro DNS AAAA.
El balanceador de carga se comunica con sus destinos utilizando direcciones IPv4, independientementede cómo se comunique el cliente con el balanceador de carga. Por lo tanto, los destinos no necesitandirecciones IPv6.
Para obtener más información, consulte Actualizar el tipo de dirección (p. 16).
Zonas de disponibilidadLas zonas de disponibilidad del balanceador de carga se habilitan al crearlo. Si habilita varias zonas dedisponibilidad para el balanceador de carga, esto aumenta la tolerancia a errores de las aplicaciones. Nopuede deshabilitar las zonas de disponibilidad para Balanceador de carga de red tras su creación, peropuede habilitar zonas de disponibilidad adicionales.
Cuando habilita una zona de disponibilidad, especifica una subred de dicha zona. Elastic Load Balancingcrea un nodo de balanceador de carga en la zona de disponibilidad y una interfaz de red para la subred(la descripción comienza por "ELB net" e incluye el nombre del balanceador de carga). Cada nodo delbalanceador de carga de la zona de disponibilidad utiliza esta interfaz de red para obtener una direcciónIPv4. Tenga en cuenta que puede ver esta interfaz de red pero no puede modificarla.
Al crear un balanceador de carga expuesto a Internet, puede especificar una dirección IP elástica por cadasubred. Si no elige una de sus direcciones IP elásticas, Elastic Load Balancing proporciona una direcciónIP elástica por subred para usted. Estas direcciones IP elásticas proporcionan al balanceador de cargadirecciones IP estáticas que no cambiarán durante la vida útil del balanceador de carga. No puede cambiarestas direcciones IP elásticas después de crear el balanceador de carga.
10
Elastic Load Balancing Network Load BalancersBalance de carga entre zonas
Al crear un balanceador de carga interno, puede especificar una dirección IP privada por cada subred.Si no especifica una dirección IP de la subred, Elastic Load Balancing elige una automáticamente. Estasdirecciones IP privadas proporcionan al balanceador de carga direcciones IP estáticas que no cambiarándurante la vida útil del balanceador de carga. No puede cambiar estas direcciones IP privadas después decrear el balanceador de carga.
Requirements
• Para los balanceadores de carga expuestos a Internet, las subredes que especifique deben tener almenos 8 direcciones IP disponibles. Para los balanceadores de carga internos, este requisito solo esnecesario si permite que AWS seleccione una dirección IPv4 privada de la subred.
• No puede especificar una subred en una zona de disponibilidad restringida. El mensaje de error es"Los balanceadores de carga de tipo 'red' no son compatibles con nombre_zona_disponibilidad". Puedeespecificar una subred en otra zona de disponibilidad que no esté restringida y utilizar el balanceo decarga entre zonas para distribuir el tráfico en los destinos en la zona de disponibilidad restringida.
• No se puede especificar una subred en una zona local.
Después de habilitar una zona de disponibilidad, el balanceador de carga comienza a direccionarsolicitudes a los destinos registrados contenidos en ella. El balanceador de carga es más eficaz si seasegura de que cada zona de disponibilidad habilitada tenga al menos un destino registrado.
Para agregar zonas de disponibilidad a través de la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (EQUILIBRIO DE CARGA), elija Load Balancers
(Balanceadores de carga).3. Seleccione el balanceador de carga.4. En la pestaña Description (Descripción) en Basic Configuration (Configuración básica), elija Edit
subnets (Editar subredes).5. Para habilitar una zona de disponibilidad, active su casilla de verificación. Si hay una subred en esa
zona de disponibilidad, se seleccionará. Si hay más de una subred en esa zona de disponibilidad,seleccione una de ellas. Tenga en cuenta que puede seleccionar una sola subred por zona dedisponibilidad.
Para un balanceador de carga expuesto a Internet, puede seleccionar una dirección IP elástica paracada zona de disponibilidad. Para un balanceador de carga interno, puede asignar una dirección IPprivada del rango IPv4 de cada subred en lugar de permitir que Elastic Load Balancing asigne una.
6. Seleccione Save (Guardar).
Para agregar zonas de disponibilidad a través de la AWS CLI
Utilice el comando set-subnets.
Balance de carga entre zonasDe manera predetermina, cada nodo del balanceador de carga distribuye el tráfico entre los destinosregistrados en su zona de disponibilidad solamente. Si habilita el balanceo de carga entre zonas, cadanodo del balanceador de carga distribuye el tráfico equitativamente entre los destinos registrados en todaslas zonas de disponibilidad habilitadas. Para obtener más información, consulte Balanceo de carga entrezonas en la Guía del usuario de Elastic Load Balancing.
Para habilitar el balanceo de carga entre zonas desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
11
Elastic Load Balancing Network Load BalancersProtección contra eliminación
2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. Elija Descriptions, Edit attributes.5. En la página Edit load balancer attributes, seleccione Enable en Cross-Zone Load Balancing y elija
Save.
Para habilitar el balanceo de carga entre zonas desde la AWS CLI
Utilice el comando modify-load-balancer-attributes con el atributoload_balancing.cross_zone.enabled.
Protección contra eliminaciónPara evitar que el balanceador de carga se elimine por error, puede habilitar la protección contraeliminación. De forma predeterminada, la protección contra eliminación del balanceador de carga estádeshabilitada.
Si habilita la protección contra eliminación del balanceador de carga, deberá deshabilitarla para podereliminarlo.
Para habilitar la protección contra eliminación desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. Elija Descriptions, Edit attributes.5. En la página Edit load balancer attributes, seleccione Enable en Delete Protection y elija Save.
Para deshabilitar la protección contra eliminación desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. Elija Descriptions, Edit attributes.5. En la página Edit load balancer attributes, desactive Enable delete protection y elija Save.
Para habilitar o deshabilitar la protección contra eliminación desde la AWS CLI
Utilice el comando modify-load-balancer-attributes con el atributo deletion_protection.enabled.
Tiempo de inactividad de conexiónPara cada solicitud TCP que un cliente realiza a través de un Balanceador de carga de red, se realizaun seguimiento del estado de la conexión. Si transcurre el tiempo de inactividad sin que el cliente ni eldestinatario envíen datos a través de la conexión, esta se cierra. Si un cliente o un destino envía datos unavez transcurrido el tiempo de inactividad, recibirá un paquete TCP RST que indicará que la conexión ya noes válida.
12
Elastic Load Balancing Network Load BalancersNombre de DNS
Elastic Load Balancing establece el valor del tiempo de inactividad para los flujos TCP en 350 segundos.Este valor no se puede modificar. Los clientes o destinos pueden utilizar paquetes keepalive TCP pararestablecer el tiempo de inactividad.
Aunque UDP no tiene conexión, el balanceador de carga mantiene el estado del flujo UDP en función delos puertos y las direcciones IP de origen y destino, lo que garantiza que los paquetes que pertenecenal mismo flujo se envíen siempre al mismo destino. Una vez transcurrido el tiempo de inactividad, elbalanceador de carga considera el paquete UDP entrante como un nuevo flujo y lo dirige a un nuevodestino. Elastic Load Balancing establece el valor del tiempo de inactividad para los flujos UDP en120 segundos.
Las instancias EC2 deben responder a una nueva solicitud en un plazo de 30 segundos para estableceruna ruta de retorno.
Nombre de DNScada Balanceador de carga de red recibe un nombre de sistema de nombres de dominio (DNS)predeterminado con la siguiente sintaxis: name-id.elb.region.amazonaws.com. Por ejemplo, mi-balanceador-de-carga-1234567890abcdef.elb.us-east-2.amazonaws.com.
Si prefiere utilizar un nombre DNS que sea más fácil de recordar, puede crear un nombre de dominiopersonalizado y asociarlo con el nombre DNS del balanceador de carga. Cuando un cliente realiza unasolicitud utilizando este nombre de dominio personalizado, el servidor DNS lo resuelve para hallar elnombre de DNS del balanceador de carga.
En primer lugar, registre un nombre de dominio con un registrador de nombres de dominio acreditado.A continuación, utilice su servicio DNS (por ejemplo, su registrador de dominio) para crear un registroCNAME y direccionar las consultas al balanceador de carga. Para obtener más información, consulte ladocumentación de su servicio de DNS. Por ejemplo, puede utilizar Amazon Route 53 como servicio DNS.Para obtener más información, consulte Direccionamiento del tráfico a un balanceador de carga de ELB enla Guía para desarrolladores de Amazon Route 53.
El balanceador de carga tiene una dirección IP por zona de disponibilidad habilitada. Estas son lasdirecciones de los nodos del balanceador de carga. El nombre DNS del balanceador de carga se resuelveen estas direcciones. Por ejemplo, suponga que el nombre de dominio personalizado del balanceadorde carga es example.networkloadbalancer.com. Utilice el siguiente comando dig o nslookup paradeterminar las direcciones IP de los nodos del balanceador de carga.
Linux o Mac
$ dig +short example.networkloadbalancer.com
Windows
C:\> nslookup example.networkloadbalancer.com
El balanceador de carga tiene registros DNS para sus nodos de balanceador de carga. Puede utilizarnombres DNS con la siguiente sintaxis para determinar las direcciones IP de los nodos del balanceador decarga: az.name-id.elb.region.amazonaws.com.
Linux o Mac
$ dig +short us-east-2b.my-load-balancer-1234567890abcdef.elb.us-east-2.amazonaws.com
Windows
13
Elastic Load Balancing Network Load BalancersCrear un balanceador de carga de
C:\> nslookup us-east-2b.my-load-balancer-1234567890abcdef.elb.us-east-2.amazonaws.com
Creación de un Balanceador de carga de redUn balanceador de carga toma las solicitudes de los clientes y las distribuye entre los destinos de un grupode destino; por ejemplo, instancias EC2.
Antes de empezar, asegúrese de que la nube privada virtual (VPC) para el balanceador de carga tiene almenos una subred pública en cada zona de disponibilidad en la que tiene destinos.
Para crear un balanceador de carga mediante la AWS CLI, consulte Tutorial: Creación de un Balanceadorde carga de red mediante laAWS CLI (p. 7).
Para crear un balanceador de carga desde la Consola de administración de AWS, complete las siguientestareas.
Tareas• Paso 1: Configurar un balanceador de carga y un agente de escucha (p. 14)• Paso 2: Configurar un grupo de destino (p. 5)• Paso 3: Registrar destinos con el grupo de destino (p. 15)• Paso 4: Crear el balanceador de carga (p. 16)
Paso 1: Configurar un balanceador de carga y unagente de escuchaEn primer lugar, proporcione alguna información de configuración básica para el balanceador de cargacomo, por ejemplo, un nombre, una red y uno o más agentes de escucha. Un agente de escucha es unproceso que comprueba solicitudes de conexión. Se configura con un protocolo y un puerto para lasconexiones entre los clientes y el balanceador de carga. Para obtener más información acerca de lospuertos y protocolos compatibles, consulte Configuración del agente de escucha (p. 19).
Para configurar el balanceador de carga y el agente de escucha
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (EQUILIBRIO DE CARGA), elija Load Balancers
(Balanceadores de carga).3. Elija Create Load Balancer.4. En Balanceador de carga de red, elija Create (Crear).5. En Name, escriba un nombre para el balanceador de carga. Por ejemplo, my-nlb.6. Para Scheme, un balanceador de carga expuesto a Internet direcciona las solicitudes de los clientes a
través de Internet hasta los destinos. Un balanceador de carga interno direcciona las solicitudes hastalos destinos mediante direcciones IP privadas.
7. En IP address type, elija ipv4 si sus clientes utilizan direcciones IPv4 para comunicarse con elbalanceador de carga, o dualstack si sus clientes utilizan tanto direcciones IPv4 como IPv6 paracomunicarse con el balanceador de carga. Si el balanceador de carga es un balanceador de cargainterno o si va a agregar un agente de escucha UDP o TCP_UDP, debe elegir ipv4.
8. En Listeners (Agentes de escucha), el valor predeterminado es un agente de escucha que aceptatráfico TCP en el puerto 80. Puede conservar la configuración predeterminada del agente de escucha,modificar el protocolo o modificar el puerto. Elija Add para agregar otro agente de escucha.
14
Elastic Load Balancing Network Load BalancersPaso 2: Configurar un grupo de destino
9. En Availability Zones (Zonas de disponibilidad), seleccione la VPC que utilizó para las instancias EC2.En cada una de las zonas de disponibilidad que utilizó para lanzar las instancias EC2, seleccione unazona de disponibilidad y seleccione después la subred pública de esa zona de disponibilidad.
De forma predeterminada, AWS asigna una dirección IPv4 a cada nodo del balanceador de cargade la subred para su zona de disponibilidad. De forma alternativa, si crea un balanceador de cargaexpuesto a Internet, puede seleccionar una dirección IP elástica para cada zona de disponibilidad.Esto proporciona al balanceador de carga direcciones IP estáticas. Si crea un balanceador de cargainterno, puede asignar una dirección IP privada del rango IPv4 de cada subred en lugar de permitirque AWS asigne una.
10. Elija Next: Configure Routing (Siguiente: Configuración del enrutamiento).
Paso 2: Configurar un grupo de destinoLos destinos, como las instancias EC2, se registran con un grupo de destino. El grupo de destino que seconfigura en este paso se utiliza como grupo de destino en la regla del agente de escucha, que reenvía lassolicitudes al grupo de destino. Para obtener más información, consulte Grupos de destino de los NetworkLoad Balancers (p. 31).
Para configurar el grupo de destino
1. Para Target group (Grupo de destino), mantenga el valor predeterminado, New target group (Nuevogrupo de destino).
2. En Name, escriba un nombre para el grupo de destino.3. En Protocol (Protocolo), elija un protocolo de la siguiente manera:
• Si el protocolo del agente de escucha es TCP, elija TCP o TCP_UDP.• Si el protocolo del agente de escucha es TLS, elija TCP o TLS.• Si el protocolo del agente de escucha es UDP, elija UDP o TCP_UDP.• Si el protocolo del agente de escucha es TCP_UDP, elija TCP_UDP.
4. (Opcional) Establezca Port (Puerto) según sea necesario.5. En Target type (Tipo de destino), seleccione instance para especificar los destinos por ID de
instancia o ip para especificar los destinos por dirección IP.6. En Health checks (Comprobaciones de estado), mantenga la configuración predeterminada de
comprobación de estado.7. Elija Next: Register Targets (Siguiente: Registrar destinos).
Paso 3: Registrar destinos con el grupo de destinoPuede registrar instancias EC2 como destinos en un grupo de destino.
Para registrar destinos por ID de instancia
1. En Instances (Instancias), seleccione una o varias instancias.2. Mantenga el puerto predeterminado del agente de escucha de la instancia o escriba uno nuevo y elija
Add to registered.3. Cuando haya terminado de registrar instancias, elija Next: Review.
Para registrar destinos por dirección IP
1. Para cada dirección IP que desee registrar, haga lo siguiente:
15
Elastic Load Balancing Network Load BalancersPaso 4: Crear el balanceador de carga
a. Para Network, si la dirección IP es de una subred de la VPC del grupo de destino, seleccione laVPC. De lo contrario, seleccione Other private IP address.
b. En Availability Zone, seleccione una zona de disponibilidad o all. Esta opción determina siel destino recibe solamente tráfico de los nodos del balanceador de carga de la zona dedisponibilidad especificada o de todas las zonas de disponibilidad habilitadas. Este campo no semuestra si está registrando direcciones IP de la VPC. En este caso, la zona de disponibilidad sedetecta automáticamente.
c. En IP, escriba la dirección.d. En Port (Puerto), escriba el puerto.e. Elija Add to list.
2. Cuando haya terminado de agregar direcciones IP a la lista, elija Next: Review.
Paso 4: Crear el balanceador de cargaDespués de crear el balanceador de carga, puede comprobar que las instancias EC2 han superado lacomprobación de estado inicial y, a continuación, comprobar que el balanceador de carga les envía tráfico.Cuando haya terminado de usar el balanceador de carga, puede eliminarlo. Para obtener más información,consulte Eliminación de un Balanceador de carga de red (p. 18).
Para crear el balanceador de carga
1. En la página Review (Revisar), elija Create (Crear).2. Una vez creado el balanceador de carga, elija Close (Cerrar).3. En el panel de navegación, en LOAD BALANCING (BALANCEO DE CARGA), elija Target Groups
(Grupos de destino).4. Seleccione el grupo de destino que se acaba de crear.5. Elija Targets (Destinos) y verifique que las instancias estén listas. Si el estado de una instancia es
initial, puede deberse a que la instancia sigue en proceso de registro o no ha superado el númeromínimo de comprobaciones de estado para que se considere correcta. Cuando el estado de al menosuna instancia sea healthy, podrá probar el balanceador de carga.
Tipos de direcciones IP para suBalanceador decarga de red
Puede configurar su Balanceador de carga de red para que los clientes puedan comunicarse con elbalanceador de carga utilizando únicamente direcciones IPv4 o direcciones IPv4 e IPv6. El balanceadorde carga se comunica con sus destinos utilizando direcciones IPv4, independientemente de cómo secomunique el cliente con el balanceador de carga. Para obtener más información, consulte Tipo dedirección IP (p. 10).
Requisitos de IPv6
• Un balanceador de carga expuesto a Internet con el tipo de dirección IP dualstack. Puede establecerel tipo de dirección IP al crear el balanceador de carga y actualizarlo en cualquier momento.
• La nube virtual privada (VPC) y las subredes que especifique para el balanceador de carga deben tenerbloques de CIDR IPv6 asociados. Para obtener más información, consulte Direcciones IPv6 en la Guíadel usuario de Amazon EC2.
• El balanceador de carga solo debe tener agentes de escucha TCP y TLS.• Las tablas de enrutamiento para las subredes del balanceador de carga deben enrutar el tráfico IPv6.
16
Elastic Load Balancing Network Load BalancersActualización de etiquetas
• Las ACL de red para las subredes del balanceador de carga deben permitir el tráfico IPv6.
Para establecer el tipo de dirección IP en la creación
Configure las opciones como se describe en Crear un balanceador de carga de (p. 14).
Para actualizar el tipo de dirección IP desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (EQUILIBRIO DE CARGA), elija Load Balancers
(Balanceadores de carga).3. Seleccione el balanceador de carga.4. Elija Actions, Edit IP address type.5. En IP address type (Tipo de dirección IP), elija ipv4 para admitir únicamente direcciones IPv4 o
dualstack para admitir direcciones IPv4 e IPv6.6. Seleccione Save (Guardar).
Para actualizar el tipo de dirección IP desde la AWS CLI
Utilice el comando set-ip-address-type.
Etiquetas para su Balanceador de carga de redLas etiquetas le ayudan a clasificar los balanceadores de carga de diversas maneras; por ejemplo, segúnsu finalidad, propietario o entorno.
Puede agregar varias etiquetas a cada balanceador de carga. Las claves de las etiquetas deben ser únicasen cada balanceador de carga. Si agrega una etiqueta con una clave que ya está asociada al balanceadorde carga, se actualizará el valor de esa etiqueta.
Cuando haya terminado de utilizar una etiqueta, puede eliminarla del balanceador de carga.
Restrictions
• Cantidad máxima de etiquetas por recurso —50• Longitud máxima de la clave — 127 caracteres Unicode.• Longitud máxima del valor — 255 caracteres Unicode.• Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Los caracteres
permitidos son letras, espacios y números representables en UTF-8, además de los siguientescaracteres especiales: + - = . _ : / @. No utilice espacios iniciales ni finales.
• No utilice el prefijo aws: en los nombres o valores de las etiquetas, porque está reservado para uso deAWS. Los nombres y valores de etiquetas que tienen este prefijo no se pueden editar. Las etiquetas quetengan este prefijo no cuentan para el límite de etiquetas por recurso.
Para actualizar las etiquetas de un balanceador de carga desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. Elija Tags (Etiquetas), Add/Edit Tags (Añadir o editar etiquetas) y, a continuación, realice una o varias
de las siguientes acciones:
17
Elastic Load Balancing Network Load BalancersEliminar un balanceador de carga de
a. Para actualizar una etiqueta, modifique los valores Key y Value.b. Para agregar una etiqueta nueva, elija Create Tag. En Key (Clave) y Value (Valor), escriba
valores.c. Para eliminar una etiqueta, elija el icono de eliminación (X) situado junto a la etiqueta.
5. Cuando haya terminado de actualizar las etiquetas, elija Save.
Para actualizar las etiquetas de un balanceador de carga desde la AWS CLI
Utilice los comandos add-tags y remove-tags.
Eliminación de un Balanceador de carga de redTan pronto como un balanceador de carga está disponible, se le facturará por cada hora u hora parcial quese mantenga en ejecución. Cuando ya no necesite el balanceador de carga, puede eliminarlo. Tan prontocomo se elimina el balanceador de carga, dejan de acumularse cargos por él.
No se puede eliminar un balanceador de carga si está habilitada la protección contra eliminación. Paraobtener más información, consulte Protección contra eliminación (p. 12).
No puede eliminar un balanceador de carga si lo está utilizando otro servicio. Por ejemplo, si elbalanceador de carga está asociado a un servicio de punto de enlace de la VPC, debe eliminar laconfiguración del servicio de punto de enlace para poder eliminar el balanceador de carga asociado.
Cuando se elimina un balanceador de carga, se eliminan también sus agentes de escucha. Eliminarun balanceador de carga no afecta a los destinos registrados en él. Por ejemplo, las instancias EC2continuarán ejecutándose y seguirán registradas en sus grupos de destino. Para eliminar los grupos dedestino, consulte Eliminar un grupo de destino (p. 51).
Para eliminar un balanceador de carga desde la consola
1. Si tiene un registro CNAME para el dominio que señala al balanceador de carga, apúntelo hacia unanueva ubicación y espere a que surta efecto el cambio de DNS antes de eliminar el balanceador decarga.
2. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.3. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.4. Seleccione el balanceador de carga.5. Elija Actions (Acciones), Delete (Eliminar).6. Cuando se le indique que confirme, seleccione Yes, Delete.
Para eliminar un balanceador de carga desde la AWS CLI
Utilice el comando delete-load-balancer.
18
Elastic Load Balancing Network Load BalancersConfiguración del agente de escucha
Agentes de escucha de los NetworkLoad Balancers
Antes de comenzar a utilizar Balanceador de carga de red, debe agregar uno o varios agentes de escucha.Un agente de escucha es un proceso que comprueba las solicitudes de conexión utilizando el protocoloy el puerto configurados. Las reglas que se definen para un agente de escucha determinan cómo elbalanceador de carga va a direccionar las solicitudes a los destinos de uno o varios grupos de destino.
Para obtener más información, consulte Direccionamiento de solicitudes en la Guía del usuario de ElasticLoad Balancing.
Contenido• Configuración del agente de escucha (p. 19)• Reglas del agente de escucha (p. 20)• Creación de un agente de escucha para el Balanceador de carga de red (p. 20)• Agentes de escucha TLS del balanceador de carga de red (p. 21)• Actualización de un agente de escucha para el Balanceador de carga de red (p. 26)• Actualización de un agente de escucha TLS para el Balanceador de carga de red (p. 27)• Eliminación de un agente de escucha para el Balanceador de carga de red (p. 30)
Configuración del agente de escuchaLos agentes de escucha admiten los siguientes protocolos y puertos:
• Protocolos: TCP, TLS, UDP, TCP_UDP• Puertos: 1-65535
Puede utilizar un agente de escucha TLS para trasladar la carga de cifrado y descifrado al balanceadorde carga con el fin de que las aplicaciones puedan concentrarse en la lógica de negocio. Si el protocolodel agente de escucha es TLS, debe implementar un único certificado de servidor SSL en el agente deescucha. Para obtener más información, consulte Agentes de escucha TLS del balanceador de carga dered (p. 21).
Para admitir TCP y UDP en el mismo puerto, cree un agente de escucha TCP_UDP. Los grupos de destinode un agente de escucha TCP_UDP deben utilizar el protocolo TCP_UDP.
Puede utilizar WebSockets con los agentes de escucha.
Todo el tráfico de red enviado a un agente de escucha configurado se clasifica como tráfico deseado. Eltráfico de red que no coincide con un agente de escucha configurado se clasifica como tráfico no deseado.Las solicitudes de ICMP que no son de tipo 3 también se consideran tráfico no deseado. Los NetworkLoad Balancers eliminan el tráfico no deseado sin reenviarlo a ningún destino. Los paquetes de datos TCPenviados al puerto de los agentes de escucha configurados que no sean conexiones nuevas ni formenparte de una conexión TCP activa se rechazan con un restablecimiento TCP (RST).
19
Elastic Load Balancing Network Load BalancersReglas del agente de escucha
Reglas del agente de escuchaAl crear un agente de escucha, debe especificar una regla para las solicitudes de redirección. Esta reglareenvíe las solicitudes al grupo de destino especificado. Para actualizar esta regla, consulte Actualizaciónde un agente de escucha para el Balanceador de carga de red (p. 26).
Creación de un agente de escucha para elBalanceador de carga de red
Un agente de escucha es un proceso que comprueba solicitudes de conexión. Los agentes de escuchase definen cuando se crea el balanceador de carga, pero se pueden agregar otros agentes de escucha encualquier momento.
Prerequisites• Debe especificar un grupo de destino para la regla del agente de escucha. Para obtener más
información, consulte Creación de un grupo de destino para el Balanceador de carga de red (p. 38).• Debe especificar un certificado SSL para un agente de escucha TLS. El balanceador de carga usará el
certificado para terminar la conexión y descifrar las solicitudes de los clientes antes de direccionarlas alos destinos. Para obtener más información, consulte Certificados de servidor (p. 21).
Añadir un agente de escuchaLos agentes de escucha se configuran con un protocolo y un puerto para las conexiones entre los clientesy el balanceador de carga, así como un grupo de destino para la regla predeterminada del agente deescucha. Para obtener más información, consulte Configuración del agente de escucha (p. 19).
Para agregar un agente de escucha a través de la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga y, a continuación, elija Listeners.4. Elija Add listener. (Añadir agente de escucha).5. En Protocol : port (Protocolo: puerto), elija TCP, UDP, TCP_UDP o TLS. Deje el puerto
predeterminado o especifique otro.6. [Agentes de escucha TLS] En ALPN policy (Política de ALPN), elija una política para habilitar ALPN
o elija None (Ninguna) para deshabilitar ALPN. Para obtener más información, consulte Políticas deALPN (p. 26).
7. Para Default actions, elija Add action, Forward to y, a continuación, elija un grupo de destinodisponible.
8. [Agentes de escucha TLS] En Security policy (Política de seguridad), le recomendamos que mantengala política de seguridad predeterminada.
9. [Agentes de escucha TLS] En Default SSL certificate (Certificado SSL predeterminado), realice una delas siguientes operaciones:
• Si creó o importó el certificado a través de AWS Certificate Manager, elija From ACM (Desde ) y elijael certificado.
• Si cargó el certificado a través de IAM, seleccione From IAM y seleccione el certificado.
20
Elastic Load Balancing Network Load BalancersConfigurar los agentes de escucha TLS
10. Seleccione Save (Guardar).11. [Agentes de escucha TLS] Para añadir una lista de certificados opcionales para utilizarla con el
protocolo SNI, consulte Añadir certificados a la lista de certificados (p. 28).
Para agregar un agente de escucha a través de AWS CLI
Utilice el comando create-listener para crear el agente de escucha.
Agentes de escucha TLS del balanceador de cargade red
Para utilizar un agente de escucha TLS, debe implementar al menos un certificado de servidor en elbalanceador de carga. El balanceador de carga utiliza un certificado de servidor para terminar la conexiónfront-end y descifrar las solicitudes de los clientes antes de enviarlas a los destinos.
Elastic Load Balancing utiliza una configuración de negociación TLS, lo que se conoce como política deseguridad, para negociar las conexiones TLS entre un cliente y el balanceador de carga. Una política deseguridad es una combinación de protocolos y cifrados. El protocolo establece una conexión segura entreun cliente y un servidor, y garantiza que todos los datos transferidos entre el cliente y el balanceador decarga son privados. Un cifrado es un algoritmo de cifrado que usa claves de cifrado para crear un mensajecodificado. Los protocolos usan diversos cifrados para cifrar los datos a través de Internet. Durante elproceso de negociación de conexiones, el cliente y el balanceador de carga presentan una lista conlos cifrados y protocolos que admite cada uno por orden de preferencia. El primer cifrado de la lista delservidor que coincide con uno de los cifrados del cliente se selecciona para la conexión segura.
Network Load BalancersLos no admiten la renegociación de TLS.
Para crear un agente de escucha TLS, consulte Añadir un agente de escucha (p. 20). Para verdemostraciones relacionadas, consulte Soporte de TLS en Balanceador de carga de red y Soporte de SNIen Balanceador de carga de red.
Certificados de servidorEl balanceador de carga requiere certificados X.509 (certificado de servidor). Los certificados son unformulario digital de identificación emitido por una entidad de certificación (CA). Un certificado contieneinformación de identificación, un periodo de validez, una clave pública, un número de serie y la firma digitaldel emisor.
Al crear un certificado para utilizarlo con el balanceador de carga, debe especificar un nombre de dominio.
Recomendamos que cree certificados para los balanceadores de carga mediante AWS Certificate Manager(ACM). ACM se integra con Elastic Load Balancing para que pueda implementar el certificado en elbalanceador de carga. Para obtener más información, consulte Guía del usuario de AWS CertificateManager.
Si lo desea, también puede usar las herramientas de TLS para crear una solicitud de firma de certificado(CSR), obtener la CSR firmada por una CA para generar el certificado e importar el certificado en ACM ocargarlo en AWS Identity and Access Management (IAM). Para obtener más información, consulte Importarcertificados en la Guía del usuario de AWS Certificate Manager o Uso de certificados de servidor en laGuía del usuario de IAM.
Important
No puede instalar certificados con claves RSA de más de 2048 bits ni con claves EC en suBalanceador de carga de red.
21
Elastic Load Balancing Network Load BalancersCertificados de servidor
Certificado predeterminadoAl crear un agente de escucha TLS, debe especificar exactamente un certificado. Este certificado seconoce como certificado predeterminado. Puede sustituir el certificado predeterminado después decrear el agente de escucha TLS. Para obtener más información, consulte Reemplazar el certificadopredeterminado (p. 27).
Si especifica certificados adicionales en una lista de certificados (p. 22), el certificado predeterminadose utiliza solo si un cliente se conecta sin usar el protocolo de indicación de nombre de servidor (SNI) paraespecificar un nombre de host o si no hay certificados coincidentes en la lista de certificados.
Si no especifica certificados adicionales pero tiene que alojar varias aplicaciones seguras a través deun único balanceador de carga, puede utilizar un certificado comodín o añadir un nombre alternativo deasunto (SAN) para cada dominio adicional al certificado.
Lista de certificadosDespués de crear un agente de escucha TLS, tiene un certificado predeterminado y una lista decertificados vacía. Opcionalmente puede añadir certificados a la lista de certificados para el agente deescucha. El uso de una lista de certificados permite al balanceador de carga admitir varios dominios en elmismo puerto y proporcionar un certificado diferente para cada dominio. Para obtener más información,consulte Añadir certificados a la lista de certificados (p. 28).
El balanceador de carga utiliza un algoritmo de selección de certificados inteligentes compatible conSNI. Si el nombre de host proporcionado por un cliente coincide con un único certificado en la lista decertificados, el balanceador de carga selecciona este certificado. Si un nombre de host proporcionado porun cliente coincide con varios certificados de la lista de certificados, el balanceador de carga seleccionael mejor certificado que el cliente puede admitir. La selección de certificados se basa en los siguientescriterios en este orden:
• Algoritmo de clave pública (prefieren ECDSA frente a RSA)• Algoritmo de hash (prefieren SHA frente a MD5)• Longitud de clave (prefieren la mayor)• Periodo de validez
Las entradas del registro de acceso del balanceador de carga indican el nombre de host especificado porel cliente y el certificado presentado al cliente. Para obtener más información, consulte Entradas de losregistros de acceso (p. 63).
Renovación de certificadosCada certificado viene con un periodo de validez. Debe asegurarse de renovar o reemplazar cadacertificado para su balanceador de carga antes de que finalice su período de validez. Esto incluye elcertificado predeterminado y los certificados en una lista de certificados. La renovación o reemplazo de uncertificado no afecta a las solicitudes en tránsito que ha recibido el nodo del balanceador de carga y queestán pendiente de ser direccionadas a un destino con un estado correcto. Una vez que se ha renovadoun certificado, las nuevas solicitudes utilizan el certificado renovado. Una vez que se ha sustituido uncertificado, las nuevas solicitudes utilizan el nuevo certificado.
Puede administrar la renovación y la sustitución de certificados de la siguiente manera:
• Los certificados proporcionados por AWS Certificate Manager e implementados en el balanceador decarga se pueden renovar automáticamente. ACM intenta renovar los certificados antes de que expiren.Para obtener más información, consulte Renovación administrada en la Guía del usuario de AWSCertificate Manager.
22
Elastic Load Balancing Network Load BalancersPolíticas de seguridad
• Si el certificado se importó en ACM, deberá supervisar la fecha de vencimiento del certificado y renovarloantes de que venza. Para obtener más información, consulte Importar certificados en la Guía del usuariode AWS Certificate Manager.
• Si importa un certificado en IAM, debe crear un nuevo certificado, importar el nuevo certificado enACM o IAM, añadir el nuevo certificado al balanceador de carga y eliminar el certificado caducado delbalanceador de carga.
Políticas de seguridadAl crear un agente de escucha TLS, debe seleccionar una política de seguridad. Puede actualizar lapolítica de seguridad según sea necesario. Para obtener más información, consulte Actualizar la política deseguridad (p. 29).
Puede elegir la política de seguridad que se va a utilizar con las conexiones frontend. La política deseguridad ELBSecurityPolicy-2016-08 siempre se utiliza con las conexiones backend. Los NetworkLoad Balancers no admiten políticas de seguridad personalizadas.
Elastic Load Balancing proporciona las siguientes políticas de seguridad para los Network Load Balancers:
• ELBSecurityPolicy-2016-08 (predeterminado)• ELBSecurityPolicy-TLS-1-0-2015-04
• ELBSecurityPolicy-TLS-1-1-2017-01
• ELBSecurityPolicy-TLS-1-2-2017-01
• ELBSecurityPolicy-TLS-1-2-Ext-2018-06
• ELBSecurityPolicy-FS-2018-06
• ELBSecurityPolicy-FS-1-1-2019-08
• ELBSecurityPolicy-FS-1-2-2019-08
• ELBSecurityPolicy-FS-1-2-Res-2019-08
• ELBSecurityPolicy-2015-05 (idéntico a ELBSecurityPolicy-2016-08)• ELBSecurityPolicy-FS-1-2-Res-2020-10
Recomendamos la política ELBSecurityPolicy-2016-08 por motivos de compatibilidad. Puedeutilizar una de las políticas ELBSecurityPolicy-FS si necesita Forward Secrecy (FS) (Confidencialidaddirecta). Puede utilizar una de las políticas ELBSecurityPolicy-TLS para ajustarse a los estándaresde seguridad y conformidad que requieren que se deshabiliten algunas versiones del protocolo TLS o paraadmitir clientes heredados que utilicen cifrados en desuso. Solo un pequeño porcentaje de clientes deInternet necesitan la versión 1.0 de TLS. Para ver la versión del protocolo TLS para las solicitudes dirigidasal balanceador de carga, habilite el registro de acceso del balanceador de carga y examine los registros deacceso. Para obtener más información, consulte Access Logs (p. 62).
Políticas de seguridad de FSEn la siguiente tabla se describen la política predeterminada y las políticas ELBSecurityPolicy-FSELBSecurityPolicy- se ha eliminado de los nombres de política en la fila de encabezado para quequepan.
23
Elastic Load Balancing Network Load BalancersPolíticas de seguridad
Políticas de seguridad TLSEn la siguiente tabla se describen la política predeterminada y las políticas ELBSecurityPolicy-TLSELBSecurityPolicy- se ha eliminado de los nombres de política en la fila de encabezado para quequepan.
24
Elastic Load Balancing Network Load BalancersPolíticas de seguridad
*No use esta política a menos que deba admitir un cliente heredado que requiera el cifrado DES-CBC3-SHA, que es un cifrado muy débil.
Para ver la configuración de una política de seguridad del balanceador de carga mediante la AWS CLI,utilice el comando describe-ssl-policies.
25
Elastic Load Balancing Network Load BalancersPolíticas de ALPN
Políticas de ALPNLa negociación de protocolo de capa de aplicación (ALPN) es una extensión TLS que se envía en losmensajes iniciales de saludo de enlace TLS. ALPN permite a la capa de aplicación negociar qué protocolosdeben utilizarse a través de una conexión segura, como HTTP/1 y HTTP/2.
Cuando el cliente inicia una conexión de ALPN, el balanceador de carga compara la lista de preferenciasde ALPN del cliente con su política de ALPN. Si el cliente admite un protocolo de la política de ALPN, elbalanceador de carga establece la conexión en función de la lista de preferencias de la política de ALPN.De lo contrario, el balanceador de carga no utiliza ALPN.
Requirements
• Agente de escucha TLS• Grupo de destino TLS
Políticas de ALPN admitidas
Las siguientes son las políticas de ALPN admitidas:
HTTP1Only
Negocian solo HTTP/1.*. La lista de preferencias de ALPN es http/1.1, http/1.0.HTTP2Only
Negocian solo HTTP/2. La lista de preferencias de ALPN es h2.HTTP2Optional
Prefieren HTTP/1.* sobre HTTP/2 (que puede ser útil para pruebas HTTP/2). La lista de preferenciasde ALPN es http/1.1, http/1.0, h2.
HTTP2Preferred
Prefieren HTTP/2 sobre HTTP/1.*. La lista de preferencias de ALPN es h2, http/1.1, http/1.0.None
No negocian ALPN. Esta es la opción predeterminada.
Habilitar conexiones de ALPN
Puede habilitar conexiones de ALPN cuando cree o modifique un agente de escucha TLS. Paraobtener más información, consulte Añadir un agente de escucha (p. 20) y Actualizar la política deALPN (p. 29).
Actualización de un agente de escucha para elBalanceador de carga de red
Puede actualizar el puerto, el protocolo y la regla predeterminada de un agente de escucha.
La regla predeterminada del agente de escucha reenvía las solicitudes al grupo de destino especificado.
Si cambia el protocolo de TCP o UDP a TLS, debe especificar una política de seguridad y un certificado deservidor. Si cambia el protocolo de TLS a TCP o UDP, se eliminan la política de seguridad y el certificadode servidor.
26
Elastic Load Balancing Network Load BalancersActualizar un agente de escucha TLS
Para actualizar el agente de escucha desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga y, a continuación, elija Listeners.4. Active la casilla de verificación del agente de escucha y, a continuación, elija Edit (Editar).5. (Opcional) Cambie los valores especificados en Protocol: port (Protocolo: puerto).6. (Opcional) Haga clic en el icono de lápiz para seleccionar otro grupo de destino para Default action
(Acción predeterminada).7. Elija Update (Actualizar).
Para actualizar el agente de escucha desde la AWS CLI
Utilice el comando modify-listener.
Actualización de un agente de escucha TLS para elBalanceador de carga de red
Después de crear un agente de escucha TLS, puede reemplazar el certificado predeterminado, agregaro quitar certificados de la lista de certificados, actualizar la política de seguridad o actualizar la política deALPN.
Limitation
No puede instalar certificados con claves RSA de más de 2048 bits ni con claves EC en su Balanceador decarga de red.
Tareas• Reemplazar el certificado predeterminado (p. 27)• Añadir certificados a la lista de certificados (p. 28)• Quitar certificados de la lista de certificados (p. 28)• Actualizar la política de seguridad (p. 29)• Actualizar la política de ALPN (p. 29)
Reemplazar el certificado predeterminadoPuede reemplazar el certificado predeterminado del agente de escucha TLS mediante el siguienteprocedimiento. Para obtener más información, consulte Certificado predeterminado (p. 22).
Para reemplazar el certificado predeterminado a través de la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (EQUILIBRIO DE CARGA), elija Load Balancers
(Balanceadores de carga).3. Seleccione el balanceador de carga y, a continuación, elija Listeners.4. Active la casilla del agente de escucha y seleccione Edit (Editar).5. En Default SSL certificate (Certificado SSL predeterminado), realice una de las siguientes
operaciones:
27
Elastic Load Balancing Network Load BalancersAñadir certificados a la lista de certificados
• Si creó o importó el certificado a través de AWS Certificate Manager, elija From ACM (Desde ACM)y elija el certificado.
• Si cargó el certificado a través de IAM, seleccione From IAM (Desde IAM) y elija el certificado.6. Elija Update (Actualizar).
Para reemplazar el certificado predeterminado a través de la AWS CLI
Utilice el comando modify-listener con la opción --certificates.
Añadir certificados a la lista de certificadosPuede añadir certificados a la lista de certificados para su agente de escucha utilizando el siguienteprocedimiento. Al crear por primera vez un agente de escucha TLS, la lista de certificados está vacía.Puede añadir uno o varios certificados. Como opción, añada el certificado predeterminado paraasegurarse de que este certificado se utilice con el protocolo SNI incluso si se reemplaza como certificadopredeterminado. Para obtener más información, consulte Lista de certificados (p. 22).
Para añadir certificados a la lista de certificados utilizando la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (EQUILIBRIO DE CARGA), elija Load Balancers
(Balanceadores de carga).3. Seleccione el balanceador de carga y, a continuación, elija Listeners.4. Para que el agente de escucha HTTPS se actualice, elija View/edit certificates (Ver/editar certificados),
que muestra el certificado predeterminado seguido de cualquier otro certificado que haya añadido alagente de escucha.
5. Elija el icono Add certificates (Añadir certificados) (el signo más) en la barra de menús, que muestrael certificado predeterminado seguido por otros certificados administrados por ACM y IAM. Si ya haañadido un certificado al agente de escucha, su casilla está seleccionada y deshabilitada.
6. Para añadir certificados que ya administra ACM o IAM, seleccione las casillas de los certificados y elijaAdd (Añadir).
7. Si tiene un certificado que no administra ACM ni IAM, impórtelo a ACM y añádalo a su agente deescucha de la siguiente manera:
a. Seleccione Import certificate.b. En Certificate private key, pegue la clave privada codificada en PEM y sin cifrar del certificado.c. En Certificate body, pegue el certificado codificado en PEM.d. (Opcional) En Certificate chain, pegue la cadena de certificados codificada en PEM.e. Elija Import. El certificado que acaba de importar aparece en la lista de certificados disponibles y
está seleccionado.f. Elija Add.
8. Para salir de esta pantalla, elija el icono Back to the load balancer (botón Atrás) de la barra de menús.
Para añadir un certificado a la lista de certificados utilizando la AWS CLI
Utilice el comando add-listener-certificates.
Quitar certificados de la lista de certificadosPuede quitar certificados de la lista de certificados de un agente de escucha TLS mediante el siguienteprocedimiento. Para quitar el certificado predeterminado de un agente de escucha TLS, consulteReemplazar el certificado predeterminado (p. 27).
28
Elastic Load Balancing Network Load BalancersActualizar la política de seguridad
Para quitar certificados de la lista de certificados utilizando la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (EQUILIBRIO DE CARGA), elija Load Balancers
(Balanceadores de carga).3. Seleccione el balanceador de carga y, a continuación, elija Listeners.4. Para que el agente de escucha se actualice, elija View/edit certificates (Ver/editar certificados), que
muestra el certificado predeterminado seguido de cualquier otro certificado que haya añadido alagente de escucha.
5. Seleccione el icono Remove certificates (Eliminar certificados) (el signo menos) de la barra de menús.6. Active la casillas de los certificados y elija Remove (Eliminar).7. Para salir de esta pantalla, elija el icono Back to the load balancer (botón Atrás) de la barra de menús.
Para eliminar un certificado de la lista de certificados utilizando la AWS CLI
Utilice el comando remove-listener-certificates.
Actualizar la política de seguridadCuando cree un agente de escucha TLS, puede seleccionar la política de seguridad que mejor se ajustea sus necesidades. Cuando se agrega una nueva política de seguridad, se puede actualizar el agentede escucha TLS para que la utilice. Los Network Load Balancers no admiten políticas de seguridadpersonalizadas. Para obtener más información, consulte Políticas de seguridad (p. 23).
Para actualizar la política de seguridad a través de la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (EQUILIBRIO DE CARGA), elija Load Balancers
(Balanceadores de carga).3. Seleccione el balanceador de carga y, a continuación, elija Listeners.4. Active la casilla del agente de escucha TLS y seleccione Edit (Editar).5. En Security policy (Política de seguridad), elija una política de seguridad.6. Elija Update (Actualizar).
Para actualizar la política de seguridad a través de AWS CLI
Utilice el comando modify-listener con la opción --ssl-policy.
Actualizar la política de ALPNPuede actualizar la política de ALPN para el agente de escucha TLS a través del siguiente procedimiento.Para obtener más información, consulte Políticas de ALPN (p. 26).
Para actualizar la política de ALPN a través de la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (EQUILIBRIO DE CARGA), elija Load Balancers
(Balanceadores de carga).3. Seleccione el balanceador de carga y, a continuación, elija Listeners.4. Active la casilla del agente de escucha TLS y seleccione Edit (Editar).5. En ALPN policy (Política de ALPN), elija una política para habilitar ALPN o elija None (Ninguna) para
deshabilitar ALPN.
29
Elastic Load Balancing Network Load BalancersEliminar un agente de escucha
6. Elija Update (Actualizar).
Para actualizar la política de ALPN a través de la AWS CLI
Utilice el comando modify-listener con la opción --alpn-policy.
Eliminación de un agente de escucha para elBalanceador de carga de red
Puede eliminar un agente de escucha en cualquier momento.
Para eliminar un agente de escucha a través de la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga y, a continuación, elija Listeners. Active la casilla del agente de
escucha y, a continuación, elija Delete (Eliminar).4. Cuando se le indique que confirme, seleccione Yes, Delete.
Para eliminar un agente de escucha a través de AWS CLI
Utilice el comando delete-listener.
30
Elastic Load Balancing Network Load BalancersConfiguración de direccionamiento
Grupos de destino de los NetworkLoad Balancers
Each target group is used to route requests to one or more registered targets. Cuando se crea un agentede escucha, especifica un grupo de destino para su acción predeterminada. El tráfico se reenvía al grupode destino especificado en la regla del agente de escucha. Puede crear grupos de destino diferentespara los distintos tipos de solicitudes. Por ejemplo, puede crear un grupo de destino para las solicitudesgenerales y otros grupos de destino para las solicitudes destinadas a los microservicios de la aplicación.Para obtener más información, consulte Balanceador de carga de redComponentes de (p. 1).
Puede definir la configuración de comprobación de estado del balanceador de carga para cada grupo dedestino. Cada grupo de destino utiliza la configuración de comprobación de estado predeterminada, amenos que la anule al crear el grupo de destino o la modifique posteriormente. Después de especificarun grupo de destino en una regla para un agente de escucha, el balanceador de carga monitorizaconstantemente el estado de todos los destinos registrados en el grupo de destino que se encuentran enuna zona de disponibilidad habilitada para el balanceador de carga. El balanceador de carga direcciona lassolicitudes a los destinos registrados que se encuentran en buen estado. Para obtener más información,consulte Comprobaciones de estado de los grupos de destino (p. 40).
Contenido• Configuración de direccionamiento (p. 31)• Target type (Tipo de objetivo) (p. 32)• Destinos registrados (p. 34)• Atributos del grupo de destino (p. 34)• Retardo de anulación del registro (p. 35)• Proxy Protocol (p. 36)• Sesiones rápidas (p. 37)• Creación de un grupo de destino para el Balanceador de carga de red (p. 38)• Comprobaciones de estado de los grupos de destino (p. 40)• Registro de destinos con el grupo de destino (p. 45)• Etiquetas para su grupo de destino (p. 50)• Eliminar un grupo de destino (p. 51)
Configuración de direccionamientoDe forma predeterminada, un balanceador de carga direcciona las solicitudes a sus destinos mediante elprotocolo y el número de puerto especificados al crear el grupo de destino. Si lo prefiere, puede anular elpuerto utilizado para direccionar el tráfico a un destino al registrarlo en el grupo de destino.
Los grupos de destino de los Network Load Balancers admiten los siguientes protocolos y puertos:
• Protocolos: TCP, TLS, UDP, TCP_UDP• Puertos: 1-65535
31
Elastic Load Balancing Network Load BalancersTarget type (Tipo de objetivo)
Si un grupo de destino está configurado con el protocolo TLS, el balanceador de carga establececonexiones TLS con los destinos mediante certificados que instala en los destinos. El balanceador decarga no valida estos certificados. Por lo tanto, puede utilizar certificados autofirmados o certificados quehayan caducado. Dado que el balanceador de carga se encuentra en una nube virtual privada (VPC), eltráfico entre el balanceador de carga y los destinos se autentica en el nivel de paquete, por lo que no correel riesgo de sufrir ataques man-in-the-middle ni de suplantación, incluso aunque los certificados de losdestinos no sean válidos.
En la tabla siguiente se resumen las combinaciones admitidas de configuración de grupo de destino yprotocolo de agente de escucha.
Protocolo del agente deescucha
Target group protocol Target group type Protocolo decomprobación de estado
TCP TCP | TCP_UDP instance | ip HTTP | HTTPS | TCP
TLS TCP | TLS instance | ip HTTP | HTTPS | TCP
UDP UDP | TCP_UDP instance | ip HTTP | HTTPS | TCP
TCP_UDP TCP_UDP instance | ip HTTP | HTTPS | TCP
Target type (Tipo de objetivo)Al crear un grupo de destino, debe especificar su tipo de destino, que determina cómo especificará susdestinos. Después de crear un grupo de destino, no puede cambiar su tipo de destino.
Los tipos de destinos posibles son los siguientes:
instance
Los destinos se especifican por ID de instancia.ip
Los destinos se especifican por dirección IP.
Cuando el tipo de destino es ip, puede especificar direcciones IP de uno de los siguientes bloques deCIDR:
• Las subredes de la VPC para el grupo de destino• 10.0.0.0/8 (RFC 1918)• 100.64.0.0/10 (RFC 6598)• 172.16.0.0/12 (RFC 1918)• 192.168.0.0/16 (RFC 1918)
Important
No puede especificar direcciones IP direccionables públicamente.
These supported CIDR blocks enable you to register the following with a target group: ClassicLinkinstances, AWS resources that are addressable by IP address and port (for example, databases), and on-premises resources linked to AWS through AWS Direct Connect or a Site-to-Site VPN connection.
32
Elastic Load Balancing Network Load BalancersRequest routing and IP addresses
Cuando el tipo de destino es ip, el balanceador de carga puede admitir 55.000 conexiones simultáneas oalrededor de 55.000 conexiones por minuto a cada destino único (dirección IP y el puerto). Si se superanestas conexiones, el riesgo de que se produzcan errores de asignación de puertos será mayor. Si seproducen errores de asignación de puertos, añada más destinos al grupo de destino.
Los Network Load Balancers no admiten el tipo de destino lambda, solo los Application Load Balancersadmiten el tipo de destino lambda Para obtener más información, consulte Funciones Lambda comodestinos en la Guía del usuario de Application Load Balancers.
Si tiene microservicios en instancias registradas con un Balanceador de carga de red, no puede usar elbalanceador de carga para establecer una comunicación entre ellos, a menos que el balanceador de cargaesté expuesto a Internet o las instancias estén registradas mediante una dirección IP. Para obtener másinformación, consulte Connections time out for requests from a target to its load balancer (p. 72).
Request routing and IP addressesSi especifica destinos utilizando un ID de instancia, el tráfico se redirige a las instancias utilizando ladirección IP privada principal especificada en la interfaz de red principal de la instancia. El balanceador decarga vuelve a escribir la dirección IP de destino del paquete de datos antes de reenviarla a la instancia dedestino.
Si especifica destinos utilizando direcciones IP, puede dirigir el tráfico a una instancia utilizando cualquierdirección IP privada de una o varias interfaces de red. Esto permite que varias aplicaciones de unainstancia utilicen el mismo puerto. Tenga en cuenta que cada interfaz de red puede tener su propio grupode seguridad. El balanceador de carga vuelve a escribir la dirección IP de destino antes de reenviarla aldestino.
Para obtener más información acerca de cómo permitir el tráfico a las instancias, consulte Grupos deseguridad de destino (p. 46).
Source IP preservationIf you specify targets by instance ID, the source IP addresses of the clients are preserved and provided toyour applications.
If you specify targets by IP address, the source IP addresses provided depend on the protocol of the targetgroup as follows:
• TCP and TLS: The source IP addresses are the private IP addresses of the load balancer nodes. If youneed the IP addresses of the clients, enable proxy protocol (p. 36) on the load balancer and get theclient IP addresses from the proxy protocol header.
• UDP and TCP_UDP: The source IP addresses are the IP addresses of the clients.
If you are using a Balanceador de carga de red with a VPC endpoint service or with AWS GlobalAccelerator, the source IP addresses provided to your application are the private IP addresses of the loadbalancer nodes. If you need the IP addresses of the service consumers, enable proxy protocol (p. 36) onthe load balancer.
If you specify targets by instance ID, you might encounter TCP/IP connection limitations related to observedsocket reuse on the targets. These connection limitations can occur when a client, or a NAT device in frontof the client, uses the same source IP address and source port when connecting to multiple load balancernodes simultaneously. If the load balancer routes the connections to the same target, these connectionsappear to the target as if they come from the same source socket, which results in connection errors. If thishappens, the clients can retry if the connection fails or reconnect if the connection is interrupted. You canreduce this type of connection error by increasing the number of source ephemeral ports or by increasingthe number of targets for the load balancer. You can prevent this type of connection error by specifyingtargets by IP address or by disabling cross-zone load balancing.
33
Elastic Load Balancing Network Load BalancersDestinos registrados
Destinos registradosEl balanceador de carga sirve como un único punto de contacto para los clientes y distribuye el tráficoentrante entre los destinos registrados en buen estado. Cada grupo de destino debe tener al menos undestino registrado en cada zona de disponibilidad que esté habilitado para el equilibrador de carga. Puederegistrar cada destino en uno o varios grupos de destino.
Si aumenta la demanda en la aplicación, puede registrar más destinos en uno o varios grupos paracontrolar la demanda. El balanceador de carga comienza a direccionar el tráfico a un destino reciénregistrado tan pronto como finaliza el proceso de registro.
Si la demanda de la aplicación se reduce o cuando es preciso realizar el mantenimiento de los destinos,anular el registro de los destinos en los grupos de destino. Al anular el registro de un destino, este sequita del grupo de destino pero no se ve afectado de ningún otro modo. El balanceador de carga dejade direccionar el tráfico a un destino tan pronto como se anula su registro. El destino adquiere el estadodraining hasta que se completan las solicitudes en tránsito. Puede volver a registrar el destino en elgrupo de destino cuando esté preparado para reanudar la recepción de tráfico.
Si está registrando destinos por ID de instancia, puede utilizar el balanceador de carga con un grupo deAuto Scaling Después de asociar un grupo de destino a un grupo de Auto Scaling, Auto Scaling registralos destinos en el grupo de destino cuando los lanza. Para obtener más información, consulte Asociar unbalanceador de carga a su grupo de Auto Scaling en la Guía del usuario de Amazon EC2 Auto Scaling.
Requirements
• You cannot register instances by instance ID if they use one of the following instance types: C1, CC1,CC2, CG1, CG2, CR1, G1, G2, HI1, HS1, M1, M2, M3, or T1.
• You cannot register instances by instance ID if they are in a VPC that is peered to the load balancer VPC(same Region or different Region). Puede registrar estas instancias por dirección IP.
• Si registra un destino por dirección IP y la dirección IP está en la misma VPC que el balanceador decarga, el balanceador de carga verifica que proviene de una subred a la que tiene acceso.
• For UDP and TCP_UDP target groups, do not register instances by IP address if they reside outsideof the load balancer VPC or if they use one of the following instance types: C1, CC1, CC2, CG1, CG2,CR1, G1, G2, HI1, HS1, M1, M2, M3, or T1. Targets that reside outside the load balancer VPC or use anunsupported instance type might be able to receive traffic from the load balancer but then be unable torespond.
Atributos del grupo de destinoEl grupo de destino presenta los siguientes atributos:
deregistration_delay.timeout_seconds
Cantidad de tiempo que Elastic Load Balancing espera antes de cambiar el estado de un procesode anulación del registro de draining a unused. El rango va de 0 a 3600 segundos. El valor depredeterminado es de 300 segundos.
deregistration_delay.connection_termination.enabled
Indicates whether the load balancer terminates connections at the end of the deregistration timeout.The value is true or false. The default is false.
proxy_protocol_v2.enabled
Indica si Proxy Protocol versión 2 está habilitado. De forma predeterminada, Proxy Protocol estádeshabilitado.
34
Elastic Load Balancing Network Load BalancersRetardo de anulación del registro
stickiness.enabled
Indica si están habilitadas las sesiones rápidas.stickiness.type
Tipo de persistencia. El valor posible es source_ip.
Retardo de anulación del registroWhen you deregister a target, the load balancer stops creating new connections to the target. Elbalanceador de carga utiliza el vaciado de conexiones para garantizar que el tráfico en tránsito se completaen las conexiones existentes. If the deregistered target stays healthy and an existing connection is not idle,the load balancer can continue to send traffic to the target. To ensure that existing connections are closed,you can do one of the following: enable the target group attribute for connection termination, ensure that theinstance is unhealthy before you deregister it, or periodically close client connections.
El estado inicial de un destino en proceso de anulación del registro es draining. De formapredeterminada, el balanceador de carga cambia el estado de un destino de anulación del registro aunused después de 300 segundos. Para cambiar el tiempo que el balanceador de carga espera antesde cambiar el estado de un destino de anulación de registro a unused, actualice el valor del retardode anulación de registro. Recomendamos que especifique un valor de al menos 120 segundos paraasegurarse de que se completan las solicitudes.
If you enable the target group attribute for connection termination, connections to deregistered targets areclosed shortly after the end of the deregistration timeout.
New console
To update the deregistration attributes using the new console
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (BALANCEO DE CARGA), elija Target Groups
(Grupos de destino).3. Choose the name of the target group to open its details page.4. On the Group details page, in the Attributes section, choose Edit.5. To change the deregistration timeout, enter a new value for Deregistration delay. To ensure that
existing connections are closed after you deregister targets, select Connection termination onderegistration.
6. Elija Save changes.
Old console
To update the deregistration attributes using the old console
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (BALANCEO DE CARGA), elija Target Groups
(Grupos de destino).3. Select the target group and choose Description, Edit attributes.4. To change the deregistration timeout, enter a new value for Deregistration delay. To ensure that
existing connections are closed after you deregister targets, select Connection termination onderegistration.
5. Seleccione Save (Guardar).
35
Elastic Load Balancing Network Load BalancersProxy Protocol
To update the deregistration attributes using the AWS CLI
Use the modify-target-group-attributes command.
Proxy ProtocolNetwork Load BalancersLos usan la versión 2 de Proxy Protocol para enviar información adicional sobrela conexión, como el origen y el destino. Proxy protocol version 2 provides a binary encoding of the proxyprotocol header. El balanceador de carga antepone un encabezado de protocolo proxy a los datos deTCP. No descarta ni sobrescribe los datos existentes, incluidos los encabezados de protocolo de proxyenviados por el cliente u otros proxy, balanceadores de carga o servidores de la ruta de red. Por tanto,es posible recibir más de un encabezado de protocolo proxy. Además, si hay otra ruta de red para losdestinos fuera del Balanceador de carga de red, el primer encabezado de protocolo proxy podría no ser elde su Balanceador de carga de red.
If you specify targets by IP address, the source IP addresses provided to your applications depend on theprotocol of the target group as follows:
• TCP and TLS: The source IP addresses are the private IP addresses of the load balancer nodes. Sinecesita las direcciones IP de los clientes, habilite Proxy Protocol y obtenga dichas direcciones delencabezado Proxy Protocol.
• UDP and TCP_UDP: The source IP addresses are the IP addresses of the clients.
Si especifica los destinos por ID de instancia, las direcciones IP de origen que se proporcionan a susaplicaciones son las direcciones IP de los clientes. However, if you prefer, you can enable proxy protocoland get the client IP addresses from the proxy protocol header.
Conexiones de comprobación de estadoAfter you enable proxy protocol, the proxy protocol header is also included in health check connectionsfrom the load balancer. Sin embargo, con estas, la información de conexión del cliente no se envía en elencabezado Proxy Protocol.
Servicios de punto de conexión de la VPCFor traffic coming from service consumers through a VPC endpoint service, the source IP addressesprovided to your applications are the private IP addresses of the load balancer nodes. If your applicationsneed the IP addresses of the service consumers, enable proxy protocol and get them from the proxyprotocol header.
El encabezado Proxy Protocol también incluye el ID del punto de enlace. Esta información se codificamediante un vector de tipo-longitud-valor (TLV), como se indica a continuación.
Campo Longitud (en octetos) Descripción
Tipo 1 PP2_TYPE_AWS (0xEA)
Length 2 Longitud del valor
1 PP2_SUBTYPE_AWS_VPCE_ID (0x01)Valor
Variable (longitud del valor menos 1) ID del punto de conexión
36
Elastic Load Balancing Network Load BalancersHabilitar Proxy Protocol
Para ver un ejemplo que analiza el tipo 0xEA de TLV, consulte https://github.com/aws/elastic-load-balancing-tools/tree/master/proprot.
Habilitar Proxy ProtocolAntes de habilitar Proxy Protocol en un grupo de destino, asegúrese de que sus aplicaciones esperan eencabezado Proxy Protocol v2 y pueden analizarlo. De lo contrario, es posible que se produzca un error.Para obtener más información, consulte el documento sobre las versiones 1 y 2 del protocolo PROXY.
New console
To enable proxy protocol v2 using the new console
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (BALANCEO DE CARGA), elija Target Groups
(Grupos de destino).3. Choose the name the target group to open its details page.4. On the Group details page, in the Attributes section, choose Edit.5. On the Edit attributes page, select Proxy protocol v2.6. Elija Save changes.
Old console
To enable proxy protocol v2 using the old console
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (BALANCEO DE CARGA), elija Target Groups
(Grupos de destino).3. Seleccione el grupo de destino.4. Elija Descriptions, Edit attributes.5. En Proxy protocol v2 (Proxy Protocol v2), elija Enable (Habilitar).6. Seleccione Save (Guardar).
To enable proxy protocol v2 using the AWS CLI
Use the modify-target-group-attributes command.
Sesiones rápidasLas sesiones rápidas son un mecanismo para direccionar el tráfico de clientes al mismo destino en ungrupo de destino. Resulta útil para los servidores que mantienen información de estado, para ofrecer unaexperiencia de continuidad a los clientes.
Considerations
• El uso de sesiones rápidas puede provocar una distribución desigual de las conexiones y los flujos, loque podría afectar a la disponibilidad de los destinos. Por ejemplo, todos los clientes situados detrásdel mismo dispositivo NAT tienen la misma dirección IP de origen. Por lo tanto, todo el tráfico de estosclientes se dirige al mismo destino.
• El balanceador de carga puede restablecer las sesiones rápidas de un grupo de destino si cambia elestado de alguno de sus destinos o si registra o anula el registro de destinos con el grupo de destino.
37
Elastic Load Balancing Network Load BalancersCreate a target group
• Las sesiones rápidas no son compatibles con los agentes de escucha de TLS ni con los grupos dedestino de TLS.
New console
To enable sticky sessions using the new console
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (BALANCEO DE CARGA), elija Target Groups
(Grupos de destino).3. Choose the name of the target group to open its details page.4. On the Group details page, in the Attributes section, choose Edit.5. On the Edit attributes page, select Stickiness.6. Elija Save changes.
Old console
To enable sticky sessions using the old console
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (BALANCEO DE CARGA), elija Target Groups
(Grupos de destino).3. Seleccione el grupo de destino.4. Elija Descriptions, Edit attributes.5. For Stickiness, select Enable.6. Seleccione Save (Guardar).
Para habilitar las sesiones sticky desde la AWS CLI
Use the modify-target-group-attributes command with the stickiness.enabled attribute.
Creación de un grupo de destino para elBalanceador de carga de red
Los destinos del Balanceador de carga de red se registran en un grupo de destino. De formapredeterminada, el balanceador de carga envía las solicitudes a los destinos registrados mediante elprotocolo y el puerto que ha especificado para el grupo de destino. Puede anular este puerto al registrarcada destino en el grupo de destino.
Una vez creado un grupo de destino, puede agregarle etiquetas.
Para direccionar el tráfico a los destinos de un grupo de destino, cree un agente de escucha y especifiqueel grupo de destino en la acción predeterminada del agente de escucha. Para obtener más información,consulte Reglas del agente de escucha (p. 20).
Puede agregar o quitar destinos del grupo de destino en cualquier momento. Para obtener másinformación, consulte Registro de destinos con el grupo de destino (p. 45). También puede modificar laconfiguración de la comprobación de estado del grupo de destino. Para obtener más información, consulteModificar la configuración de comprobación de estado de un grupo de destino (p. 45).
38
Elastic Load Balancing Network Load BalancersCreate a target group
New console
To create a target group using the new console
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Target Groups.3. Elija Create target group.4. For Choose a target type, select Instances to register targets by instance ID or IP addresses to
register targets by IP address.5. For Target group name, type a name for the target group. Este nombre debe ser único por región
por cuenta, puede tener un máximo de 32 caracteres, debe contener únicamente caracteresalfanuméricos o guiones y no puede comenzar ni terminar con un guion.
6. For Protocol, choose a protocol as follows:
• Si el protocolo del agente de escucha es TCP, elija TCP o TCP_UDP.• Si el protocolo del agente de escucha es TLS, elija TCP o TLS.• Si el protocolo del agente de escucha es UDP, elija UDP o TCP_UDP.• Si el protocolo del agente de escucha es TCP_UDP, elija TCP_UDP.
7. (Optional) For Port, modify the default value as needed.8. For VPC, select a virtual private cloud (VPC).9. (Optional) In the Health checks section, modify the default settings as needed.10. (Opcional) Agregue una o varias etiquetas, como se indica a continuación:
a. Expand the Tags section.b. Elija Add tag (Añadir etiqueta).c. Enter the tag key and tag value.
11. Seleccione Siguiente.12. (Optional) Add one or more targets as follows:
• If the target type is Instances, select one or more instances, enter one or more ports, and thenchoose Include as pending below.
• If the target type is IP addresses, select the network, enter the IP address and ports, and thenchoose Include as pending below.
13. Elija Create target group.14. (Opcional) Puede especificar el grupo de destino en la regla predeterminada del agente
de escucha. Para obtener más información, consulte Crear un agente de escucha (p. 20) yActualización de un agente de escucha (p. 26).
Old console
To create a target group using the old console
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Target Groups.3. Elija Create target group.4. For Target group name, type a name for the target group. Este nombre debe ser único por región
por cuenta, puede tener un máximo de 32 caracteres, debe contener únicamente caracteresalfanuméricos o guiones y no puede comenzar ni terminar con un guion.
5. For Protocol, choose a protocol as follows:
• Si el protocolo del agente de escucha es TCP, elija TCP o TCP_UDP.
39
Elastic Load Balancing Network Load BalancersConfigurar comprobaciones de estado
• Si el protocolo del agente de escucha es TLS, elija TCP o TLS.• Si el protocolo del agente de escucha es UDP, elija UDP o TCP_UDP.• Si el protocolo del agente de escucha es TCP_UDP, elija TCP_UDP.
6. (Optional) For Port, modify the default value as needed.7. For Target type, select instance to specify targets by instance ID or ip to specify targets by IP
address.8. For VPC, select a virtual private cloud (VPC).9. (Optional) For Health check settings and Advanced health check settings, modify the default
settings as needed. Seleccione Create (Crear).10. (Opcional) Agregue una o varias etiquetas, como se indica a continuación:
a. Seleccione el grupo de destino que se acaba de crear.b. Elija Tags, Add/Edit Tags.c. On the Add/Edit Tags page, for each tag that you add, choose Create Tag and then specify
the tag key and tag value. Cuando haya terminado de agregar etiquetas, elija Save.11. (Opcional) Para agregar destinos al grupo de destino, consulte Registro de destinos con el grupo
de destino (p. 45).12. (Opcional) Puede especificar el grupo de destino en la regla predeterminada del agente
de escucha. Para obtener más información, consulte Crear un agente de escucha (p. 20) yActualización de un agente de escucha (p. 26).
Para crear un grupo de destino desde la AWS CLI
Use the create-target-group command to create the target group, the add-tags command to tag your targetgroup, and the register-targets command to add targets.
Comprobaciones de estado de los grupos dedestino
Puede registrar los destinos en uno o varios grupos de destino. El balanceador de carga comienza aredireccionar las solicitudes a un destino recién registrado tan pronto como finaliza el proceso de registro.El proceso de registro puede tardar unos minutos en completarse y comenzar las comprobaciones deestado.
Network Load BalancersLos utilizan comprobaciones de estado activas y pasivas para determinar si undestino está disponible para administrar solicitudes. De forma predeterminada cada uno de los nodos delbalanceador de carga direcciona las solicitudes exclusivamente a los destinos en buen estado de su zonade disponibilidad. Si se habilita el balanceo de carga entre zonas, cada nodo del balanceador de cargadireccionará el tráfico entre los destinos en buen estado de todas las zonas de disponibilidad habilitadas.Para obtener más información, consulte Balance de carga entre zonas (p. 11).
Con las comprobaciones de estado activas, el balanceador de carga envía periódicamente una solicituda cada destino registrado para comprobar su estado. Cada nodo del balanceador de carga comprueba elestado de cada destino; para ello, utiliza la configuración de comprobación de estado del grupo de destinoen el que está registrado el destino. Después de completar cada comprobación de estado, el nodo delbalanceador de carga cierra la conexión se estableció para la comprobación de estado.
Con las comprobaciones de estado pasivas, el balanceador de carga observa cómo los objetivosresponden a las conexiones. Las comprobaciones de estado pasivas permiten que el balanceador decarga pueda detectar un destino en mal estado antes de que lo notifiquen las comprobaciones de estado
40
Elastic Load Balancing Network Load BalancersConfiguración de comprobaciones de estado
activas. Las comprobaciones de estado pasivas no se pueden deshabilitar, configurar ni monitorear. Lascomprobaciones de estado pasivas no se admiten para el tráfico UDP.
Si un destino no está en buen estado, el balanceador de carga envía un RST TCP para los paquetesrecibidos en las conexiones de cliente asociadas al destino.
Si uno o varios grupos de destino no tienen un destino en buen estado en una zona de disponibilidadhabilitada, se quita del DNS la dirección IP de la subred correspondiente, para que no puedan dirigirsesolicitudes a esa zona de disponibilidad. Si no hay zonas de disponibilidad habilitadas con un destino enbuen estado en cada grupo de destino, las solicitudes se dirigen a los destinos de todas las zonas dedisponibilidad habilitadas.
En las solicitudes de comprobación de estado HTTP o HTTPS, el encabezado de host contiene la direcciónIP del nodo del balanceador de carga y el puerto del agente de escucha, no la dirección IP del destino y elpuerto de comprobación de estado.
Si añade un agente de escucha TLS a su Balanceador de carga de red, realizaremos una prueba deconectividad del agente de escucha. Como la terminación de TLS también termina una conexión TCP, seestablece una nueva conexión TCP entre el balanceador de carga y los destinos. Por tanto, es posible quevea los pings de TCP de esta prueba enviados desde el balanceador de carga a los destinos que se hanregistrado con el agente de escucha TLS. Puede identificar estos pings de TCP, ya que tienen la direcciónIP de origen de sus Balanceador de carga de red y las conexiones no contienen paquetes de datos.
Para probar la disponibilidad de un servicio UDP, se realizan comprobaciones de estado activas deTCP dirigidas a un puerto TCP del destino. Utilice cualquier puerto TCP del destino para verificarla disponibilidad de un servicio UDP. Si se produce un error del servicio a la escucha del puerto decomprobación de estado, se considera que el destino no está disponible. Para mejorar la precisión delas comprobaciones de estado de un servicio UDP, configure el servicio a la escucha del puerto decomprobación de estado para realizar un seguimiento del estado de su servicio UDP y cerrar el puertomencionado si el servicio no está disponible.
Configuración de comprobaciones de estadoPuede utilizar los siguientes ajustes para configurar las comprobaciones de estado activas en losdestinos de un grupo de destino. Si las comprobaciones de salud superan inseguridadde seguridad fallosconsecutivos, el equilibrador de carga toma el objetivo fuera de servicio. Cuando las comprobaciones desalud superan recuento de umbrales de salud consecutivos, el equilibrador de carga vuelve a poner elobjetivo en servicio.
Ajustes Descripción
HealthCheckProtocol Protocolo que el balanceador de carga utiliza alrealizar comprobaciones de estado en los destinos.Los posibles protocolos son HTTP, HTTPS y TCP.El valor predeterminado es el protocolo TCP.
HealthCheckPort Puerto que el balanceador de carga utiliza alrealizar comprobaciones de estado en los destinos.El valor predeterminado es el puerto en el quecada destino recibe el tráfico procedente delbalanceador de carga.
HealthCheckPath [Comprobaciones de estado HTTP/HTTPS]Ruta de ping que es el destino para los destinosen las comprobaciones de estado. El valorpredeterminado es .
41
Elastic Load Balancing Network Load BalancersEstado del destino
Ajustes Descripción
HealthCheckTimeoutSeconds Si durante este tiempo, en segundos, no serecibe ninguna respuesta de un destino, seconsiderará que la comprobación de estado no seha superado. Este valor debe ser de 6 segundospara las comprobaciones de estado HTTP y de10 segundos para las comprobaciones de estadoTCP y HTTPS.
HealthCheckIntervalSeconds Cantidad aproximada de tiempo, en segundos,que transcurre entre comprobaciones de estadode un destino individual. Este valor puede ser 10segundos o 30 segundos. El valor predeterminadoes de 30 segundos.
Important
Las comprobaciones de estado deun Balanceador de carga de red sedistribuyen y utilizan un mecanismo deconsenso para determinar el estado deun destino. Por tanto, los destinos recibenun número mayor de comprobaciones deestado que el que está establecido. Parareducir el impacto en los destinos si utilizacomprobaciones de estado de HTTP, useun objetivo más sencillo en los destinos,como, por ejemplo, un archivo HTMLestático, o cambie a las comprobacionesde estado de TCP.
HealthyThresholdCount Número de comprobaciones de estadoconsecutivas que deben superarse para considerarque un destino en mal estado vuelve a estaren buen estado. El rango va de 2 a 10. El valorpredeterminado es 3.
UnhealthyThresholdCount Número de comprobaciones de estadoconsecutivas no superadas que se requieren paraconsiderar que un destino se encuentra en malestado. Este valor debe ser el mismo que el delrecuento de umbral en buen estado.
Matcher [Comprobaciones de estado HTTP/HTTPS]Códigos HTTP que se deben utilizar al comprobarsi se ha recibido una respuesta correcta de undestino. El valor debe estar comprendido entre 200y 399.
Estado del destinoAntes de que el balanceador de carga envíe a un destino una solicitud de comprobación de estado, deberegistrarlo en un grupo de destino, especificar su grupo de destino en una regla del agente de escucha yasegurarse de que la zona de disponibilidad del destino esté habilitada en el balanceador de carga.
En la siguiente tabla se describen los valores posibles del estado de un destino registrado.
42
Elastic Load Balancing Network Load BalancersCódigos de motivo de comprobación de estado
Valor Descripción
initial El balanceador de carga se encuentra en proceso de registrarel destino o de realizar las comprobaciones de estadoiniciales en el destino.
Códigos de motivo relacionados:Elb.RegistrationInProgress |Elb.InitialHealthChecking
healthy El destino se encuentra en buen estado.
Códigos de motivo relacionados: Ninguna
unhealthy El destino no respondió a una comprobación de estado o nola ha superado.
Código de motivo relacionado:Target.FailedHealthChecks
unused El destino no está registrado en un grupo de destino, el grupode destino no se utiliza en una regla del agente de escucha,el destino se encuentra en una zona de disponibilidad queno está habilitada o el destino está en un estado detenido oterminado.
Códigos de motivo relacionados: Target.NotRegistered| Target.NotInUse | Target.InvalidState |Target.IpUnusable
draining El destino está en proceso de anulación del registro y devaciado de conexiones.
Código de motivo relacionado:Target.DeregistrationInProgress
unavailable El estado del destino no está disponible.
Código de motivo relacionado: Elb.InternalError
Códigos de motivo de comprobación de estadoSi el estado de un destino es un valor distinto de Healthy, el API devuelve un código de motivo y unadescripción del problema. Además, la consola muestra la misma descripción en una información sobreherramientas. Tenga en cuenta que los códigos de razón que comienzan con Elb se originan en el ladodel equilibrador de carga y los códigos de motivo que comienzan con Target se originan en el ladoobjetivo.
Código de motivo Descripción
Elb.InitialHealthChecking Las comprobaciones de estado iniciales están en curso.
Elb.InternalError Las comprobaciones de estado no se han superado debido aun error interno.
Elb.RegistrationInProgress El registro del destino está en curso.
43
Elastic Load Balancing Network Load BalancersComprobación del estado de los destinos
Código de motivo Descripción
Target.DeregistrationInProgress La anulación del registro del destino está en curso.
Target.FailedHealthChecks Las comprobaciones de estado no se han superado.
Target.InvalidState El destino se encuentra en estado detenido.
El destino se encuentra en estado terminado.
El destino se encuentra en estado terminado o detenido.
El destino se encuentra en un estado no válido.
Target.IpUnusable La dirección IP no se puede utilizar como destino, ya que lautiliza un balanceador de carga.
Target.NotInUse El grupo de destino no se ha configurado para recibir el tráficodel balanceador de carga.
El destino se encuentra en una zona de disponibilidad que noestá habilitada para el balanceador de carga.
Target.NotRegistered El destino no está registrado en el grupo de destino.
Comprobación del estado de los destinosPuede comprobar el estado de los destinos registrados en los grupos de destino.
New console
Para comprobar la salud de sus objetivos mediante la nueva consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en EQUILIBRIO DE CARGA, elegir Grupos objetivo.3. Seleccione el nombre del grupo de destino para abrir la página de detalles.4. En el Objetivos la pestaña, Estado columna indica el estado de cada destino.5. Si el estado de destino es cualquier valor distinto de Healthy, el , Detalles de estado contiene
más información.
Old console
Para comprobar la salud de sus objetivos utilizando la consola antigua
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en EQUILIBRIO DE CARGA, elegir Grupos objetivo.3. Seleccione el grupo de destino.4. Elegir Objetivosy ver el estado de cada objetivo en el Estado columna. Si el estado es cualquier
valor distinto de Healthy, consulte la información sobre herramientas para obtener másinformación.
Para comprobar el estado de los destinos desde la AWS CLI
Utilice el describir-salud-objetivo comando. El resultado de este comando contiene el estado del destino.Incluye un código de motivo si el estado es cualquier valor distinto de Healthy.
44
Elastic Load Balancing Network Load BalancersModificar la configuración de comprobación
de estado de un grupo de destino
Para recibir notificaciones por correo electrónico sobre destinos en mal estado
Uso CloudWatch alarmas para activar un Lambda función para enviar detalles sobre objetivos pocosaludables. Para obtener instrucciones paso a paso, consulte la siguiente publicación del blog: Identificarobjetivos poco saludables del equilibrador de carga.
Modificar la configuración de comprobación de estadode un grupo de destinoPuede modificar parte de la configuración de comprobación de estado del grupo de destino. Si el protocolodel grupo de destino es TCP, TLS, UDP o TCP_UDP, no puede modificar el protocolo de comprobación delestado, el intervalo, el tiempo de espera o los códigos de éxito.
New console
Para modificar la configuración de comprobación de estado de un grupo de destino utilizandola nueva consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en EQUILIBRIO DE CARGA, elegir Grupos objetivo.3. Seleccione el nombre del grupo de destino para abrir la página de detalles.4. En el Detalles del grupo , en el Ajustes de comprobación de estado sección, elegir Editar.5. En el Editar configuración de comprobación de estado página, modificar los ajustes según sea
necesario y, a continuación, elegir Guardar cambios.
Old console
Para modificar la configuración de comprobación de estado de un grupo de destino utilizandola consola antigua
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en EQUILIBRIO DE CARGA, elegir Grupos objetivo.3. Seleccione el grupo de destino.4. Elegir Comprobaciones de salud, , Editar.5. En el Editar grupo objetivo página, modificar los ajustes según sea necesario y, a continuación,
elegir Guardar.
Para modificar la configuración de comprobación de estado de un grupo de destino mediante la AWS CLI
Utilice el modificar-grupo-objetivo comando.
Registro de destinos con el grupo de destinoCuando el destino esté preparado para controlar solicitudes, lo registra con uno o más grupos de destino.Puede registrar destinos por ID de instancia o por dirección IP. El balanceador de carga comienza adireccionar las solicitudes al destino tan pronto como se completa el proceso de registro y el destinosupera las comprobaciones de estado iniciales. El proceso de registro puede tardar unos minutosen completarse y comenzar las comprobaciones de estado. Para obtener más información, consulteComprobaciones de estado de los grupos de destino (p. 40).
Si la demanda aumenta en los destinos registrados actualmente, puede registrar más para controlar esademanda. Si la demanda baja en los destinos registrados, puede anular el registro de los destinos en
45
Elastic Load Balancing Network Load BalancersGrupos de seguridad de destino
el grupo de destino. El proceso de anulación de registro puede tardar unos minutos en completarse yque el balanceador de carga detenga las solicitudes de enrutamiento al destino. Si la demanda aumentaposteriormente, puede registrar de nuevo los destinos a los que anuló el registro con el grupo de destino.Si necesita dar servicio a un destino, puede anular el registro y volver a registrarlo cuando se complete elservicio.
Cuando se anula el registro de un destino, Elastic Load Balancing espera hasta que se han completado lassolicitudes en tránsito. Esto se denomina vaciado de conexiones. El estado de un destino es drainingmientras se está efectuando el vaciado de conexiones. Una vez completada la anulación del registro, elestado del destino cambia a unused. Para obtener más información, consulte Retardo de anulación delregistro (p. 35).
Si está registrando destinos por ID de instancia, puede utilizar el balanceador de carga con un grupo deAuto Scaling Después de asociar un grupo de destino a un grupo de Auto Scaling y cuando el grupo seescale para ampliarlo, las instancias lanzadas por el grupo de Auto Scaling se registran automáticamenteen el grupo de destino. Si separa el balanceador de carga del grupo de Auto Scaling, automáticamente seanula el registro de las instancias en el grupo de destino. Para obtener más información, consulte Asociarun balanceador de carga a su grupo de Auto Scaling en la Guía del usuario de Amazon EC2 Auto Scaling.
Grupos de seguridad de destinoCuando se registran instancias EC2 como destinos, es preciso asegurarse de que los grupos de seguridadde estas instancias permitan el tráfico tanto en el puerto del agente de escucha como en el puerto decomprobación de estado.
Limits
• Network Load BalancersLos no tienen grupos de seguridad asociados. Por lo tanto, los grupos deseguridad de los destinos deben utilizar direcciones IP para permitir tráfico del balanceador de carga.
• You cannot use the security groups for clients as a source in the security groups for the targets. Instead,use the client CIDR blocks as sources in the target security groups.
The following are the recommended rules for instance security groups.
Reglas recomendadas para grupos de seguridad de instancia
Inbound
Fuente Protocolo Rango de puertos Comentario
Client IPaddresses
target target Permitir tráfico decliente (tipo de destinoinstance
VPC CIDR target target Permitir tráfico de cliente(tipo de destino ip
VPC CIDR health check health check Permitir tráfico decomprobación de estadodesde el balanceador decarga
Si registra destinos por dirección IP y no desea conceder acceso a todo el CIDR de la VPC, puedeconceder acceso a las direcciones IP privadas utilizadas por los nodos del balanceador de carga. Hayuna dirección IP por cada subred de balanceador de carga. Para encontrar estas direcciones, utilice elsiguiente procedimiento.
46
Elastic Load Balancing Network Load BalancersACL de red
To find the private IP addresses to allow
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Network Interfaces.3. En el campo de búsqueda, escriba el nombre de su Balanceador de carga de red. Hay una interfaz de
red por cada subred de balanceador de carga.4. En la pestaña Details (Detalles) de cada interfaz de red, copie la dirección de Primary private IPv4 IP
(IP IPv4 privada principal).
ACL de redCuando se registran instancias EC2 como destinos, es preciso asegurarse de que las ACL de red delas subredes de las instancias permitan el tráfico tanto en el puerto del agente de escucha como en elpuerto de comprobación de estado. La lista de control de acceso (ACL) de red predeterminada de una VPCpermite todo el tráfico de entrada y salida. Si crea ACL de red personalizadas, compruebe que permiten eltráfico correspondiente.
The network ACLs associated with the subnets for your instances must allow the following traffic for aninternet-facing load balancer.
Reglas recomendadas para subredes de instancia
Inbound
Fuente Protocolo Rango de puertos Comentario
Client IPaddresses
listener listener Permitir tráfico decliente (tipo de destinoinstance
VPC CIDR listener listener Permitir tráfico de cliente(tipo de destino ip
VPC CIDR health check health check Permitir tráfico decomprobación de estadodesde el balanceador decarga
Outbound
Destino Protocolo Rango de puertos Comentario
Client IPaddresses
listener listener Permitir respuestas aclientes (tipo de destinoinstance
VPC CIDR listener listener Permitir respuestas aclientes (tipo de destinoip
VPC CIDR health check 1024 - 65535 Permitir tráfico decomprobación de estado
The network ACLs associated with the subnets for your load balancer must allow the following traffic for aninternet-facing load balancer.
47
Elastic Load Balancing Network Load BalancersRegistro o anulación del registro de destinos
Reglas recomendadas para subredes de balanceador de carga
Inbound
Fuente Protocolo Rango de puertos Comentario
Client IPaddresses
listener listener Permitir tráfico decliente (tipo de destinoinstance
VPC CIDR listener listener Permitir tráfico de cliente(tipo de destino ip
VPC CIDR health check 1024 - 65535 Permitir tráfico decomprobación de estado
Outbound
Destino Protocolo Rango de puertos Comentario
Client IPaddresses
listener listener Permitir respuestas aclientes (tipo de destinoinstance
VPC CIDR listener listener Permitir respuestas aclientes (tipo de destinoip
VPC CIDR health check health check Permitir tráfico decomprobación de estado
VPC CIDR health check 1024 - 65535 Permitir tráfico decomprobación de estado
For an internal load balancer, the network ACLs for the subnets for your instances and load balancernodes must allow both inbound and outbound traffic to and from the VPC CIDR, on the listener port andephemeral ports.
Registro o anulación del registro de destinosCada grupo de destino debe tener al menos un destino registrado en cada zona de disponibilidad que estéhabilitado para el equilibrador de carga.
El tipo de destino de su grupo de destino determina cómo se registran los destinos en ese grupo dedestino. Para obtener más información, consulte Target type (Tipo de objetivo) (p. 32).
Requirements
• You cannot register instances by instance ID if they use one of the following instance types: C1, CC1,CC2, CG1, CG2, CR1, G1, G2, HI1, HS1, M1, M2, M3, or T1.
• You cannot register instances by instance ID if they are in a VPC that is peered to the load balancer VPC(same Region or different Region). Puede registrar estas instancias por dirección IP.
• Si registra un destino por dirección IP y la dirección IP está en la misma VPC que el balanceador decarga, el balanceador de carga verifica que proviene de una subred a la que tiene acceso.
• For UDP and TCP_UDP target groups, do not register instances by IP address if they reside outsideof the load balancer VPC or if they use one of the following instance types: C1, CC1, CC2, CG1, CG2,CR1, G1, G2, HI1, HS1, M1, M2, M3, or T1. Targets that reside outside the load balancer VPC or use an
48
Elastic Load Balancing Network Load BalancersRegistro o anulación del registro de destinos
unsupported instance type might be able to receive traffic from the load balancer but then be unable torespond.
Contenido• Registro o anulación del registro de destinos por ID de instancia (p. 49)• Registro o anulación del registro de destinos por dirección IP (p. 49)• Registro o anulación del registro de destinos mediante la AWS CLI (p. 50)
Registro o anulación del registro de destinos por ID de instanciaUna instancia debe tener el estado running al registrarla.
New console
To register or deregister targets by instance ID using the new console
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (BALANCEO DE CARGA), elija Target Groups
(Grupos de destino).3. Choose the name of the target group to open its details page.4. Choose the Targets tab.5. To register instances, choose Register targets. Select one or more instances, enter the default
instance port as needed, and then choose Include as pending below. When you are finishedadding instances, choose Register pending targets.
6. To deregister instances, select the instance and then choose Deregister.
Old console
To register or deregister targets by instance ID using the old console
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Target Groups.3. Seleccione el grupo de destino.4. Elija Targets, Edit.5. (Opcional) En Registered instances, seleccione las instancias cuyo registro desee anular y elija
Remove.6. (Opcional) En Instances, seleccione todas las instancias en ejecución que vaya a registrar,
modifique el puerto de instancia predeterminado según sea necesario y, a continuación, elija Addto registered.
7. Seleccione Save (Guardar).
Registro o anulación del registro de destinos por dirección IPUna dirección IP que registre deben estar en uno de los siguientes bloques de CIDR:
• Las subredes de la VPC para el grupo de destino• 10.0.0.0/8 (RFC 1918)• 100.64.0.0/10 (RFC 6598)• 172.16.0.0/12 (RFC 1918)
49
Elastic Load Balancing Network Load BalancersActualización de etiquetas
• 192.168.0.0/16 (RFC 1918)
New console
To register or deregister targets by IP address using the new console
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (BALANCEO DE CARGA), elija Target Groups
(Grupos de destino).3. Chose the name of the target group to open its details page.4. Choose the Targets tab.5. To register IP addresses, choose Register targets. For each IP address, select the network,
Availability Zone, IP address, and port, and then choose Include as pending below. When you arefinished specifying addresses, choose Register pending targets.
6. To deregister IP addresses, select the IP addresses and then choose Deregister. Si ha registradomuchas direcciones IP, puede que le resulte útil agregar un filtro o cambiar el orden.
Old console
To register or deregister targets by IP address using the old console
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Target Groups.3. Seleccione el grupo de destino y elija Targets, Edit.4. To register IP addresses, choose the Register targets icon (the plus sign) in the menu bar. Para
cada dirección IP, especifique la red, la zona de disponibilidad, la dirección IP y el puerto y, acontinuación, elija Add to list. Cuando haya terminado de especificar direcciones, elija Register.
5. To deregister IP addresses, choose the Deregister targets icon (the minus sign) in the menu bar.Si ha registrado muchas direcciones IP, puede que le resulte útil agregar un filtro o cambiar elorden. Seleccione las direcciones IP y elija Deregister.
6. To leave this screen, choose the Back to target group icon (the back button) in the menu bar.
Registro o anulación del registro de destinos mediante la AWSCLIUse the register-targets command to add targets and the deregister-targets command to remove targets.
Etiquetas para su grupo de destinoLas etiquetas le ayudan a clasificar los grupos de destino de diversas maneras; por ejemplo, según sufinalidad, propietario o entorno.
Puede agregar varias etiquetas a cada grupo de destino. Las claves de las etiquetas deben ser únicas encada grupo de destino. Si agrega una etiqueta con una clave que ya está asociada al grupo de destino, seactualizará el valor de esa etiqueta.
Cuando ya no necesite una etiqueta, puede quitarla.
Restrictions
• Cantidad máxima de etiquetas por recurso —50
50
Elastic Load Balancing Network Load BalancersEliminar un grupo de destino
• Longitud máxima de la clave — 127 caracteres Unicode.• Longitud máxima del valor — 255 caracteres Unicode.• Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Allowed characters
are letters, spaces, and numbers representable in UTF-8, plus the following special characters: + - = ._ : / @. Do not use leading or trailing spaces.
• No utilice el prefijo aws: en los nombres o valores de las etiquetas, porque está reservado para uso deAWS. Los nombres y valores de etiquetas que tienen este prefijo no se pueden editar. Las etiquetas quetengan este prefijo no cuentan para el límite de etiquetas por recurso.
New console
To update the tags for a target group using the new console
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (BALANCEO DE CARGA), elija Target Groups
(Grupos de destino).3. Choose the name of the target group to open its details page.4. On the Tags tab, choose Manage tags and do one or more of the following:
a. To update a tag, enter new values for Key and Value.b. To add a tag, choose Add tag and enter values for Key and Value.c. To delete a tag, choose Remove next to the tag.
5. When you have finished updating tags, choose Save changes.
Old console
Para actualizar las etiquetas de un grupo de destino desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING (BALANCEO DE CARGA), elija Target Groups
(Grupos de destino).3. Seleccione el grupo de destino.4. On the Tags tab, choose Add/Edit Tags, and then do one or more of the following:
a. Para actualizar una etiqueta, modifique los valores Key y Value.b. Para agregar una nueva etiqueta, elija Create Tag y, a continuación, escriba los valores para
Key y Value.c. Para eliminar una etiqueta, elija el icono de eliminación (X) situado junto a la etiqueta.
5. Cuando haya terminado de actualizar las etiquetas, elija Save.
Para actualizar las etiquetas de un grupo de destino mediante la AWS CLI
Use the add-tags and remove-tags commands.
Eliminar un grupo de destinoYou can delete a target group if it is not referenced by the forward actions of any listener rules. Laeliminación de un grupo de destino no afecta a los destinos registrados en él. Si ya no necesita unainstancia EC2 registrada, puede detenerla o terminarla.
51
Elastic Load Balancing Network Load BalancersEliminar un grupo de destino
New console
To delete a target group using the new console
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Target Groups.3. Seleccione el grupo de destino y elija Actions, Delete.4. When prompted for confirmation, choose Yes, delete.
Old console
To delete a target group using the old console
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Target Groups.3. Seleccione el grupo de destino y elija Actions, Delete.4. Cuando se le pida confirmación, elija Yes (Sí).
Para eliminar un grupo de destino desde la AWS CLI
Use the delete-target-group command.
52
Elastic Load Balancing Network Load Balancers
Monitorización de los Network LoadBalancers
Puede utilizar las siguientes características para monitorizar los balanceadores de carga, analizar lospatrones de tráfico y solucionar los problemas de los balanceadores de carga y de los destinos.
CloudWatchMétricas de
Puede utilizar Amazon CloudWatch para recuperar estadísticas sobre los puntos de datos de losbalanceadores de carga y destinos en conjuntos ordenados de datos de serie temporal denominadosmétricas. Utilice estas métricas para comprobar que el sistema funciona de acuerdo con lo esperado.Para obtener más información, consulte CloudWatchMétricas de para el Balanceador de carga dered (p. 54).
Logs de flujo de VPC
Puede utilizar logs de flujo de VPC para capturar información detallada sobre el tráfico entrante ysaliente del Balanceador de carga de red. Para obtener más información, consulte Registros de flujode VPC en la Guía del usuario de Amazon VPC.
Cree un log de flujo para cada interfaz de red del balanceador de carga. Hay una interfaz de red porcada subred de balanceador de carga. Para identificar las interfaces de red de un Balanceador decarga de red, busque el nombre del balanceador de carga en el campo de descripción de la interfaz dered.
Existen dos entradas para cada conexión a través de su Balanceador de carga de red, una parala conexión frontend entre el cliente y el balanceador de carga y la otra para la conexión backendentre el balanceador de carga y el destino. Si el destino es registrado por ID de instancia, la conexiónaparece en la instancia como una conexión desde el cliente. Si el grupo de seguridad de la instanciano permite conexiones desde el cliente pero las ACL de red de la subred del balanceador de carga sílas permiten, los logs de la interfaz de red del balanceador de carga muestran "ACCEPT OK" para lasconexiones frontend y backend, mientras que los logs de la interfaz de red de la instancia muestran"REJECT OK" para la conexión.
Logs de acceso
Puede usar registros de acceso para capturar información detallada sobre las solicitudes de TLSenviadas al balanceador de carga. Los archivos de registro están almacenados en Amazon S3.Puede utilizar estos logs de acceso para analizar los patrones de tráfico y solucionar problemas en losdestinos. Para obtener más información, consulte Registros de acceso del Balanceador de carga dered (p. 62).
CloudTrailRegistros de
Puede utilizar AWS CloudTrail para capturar información detallada sobre las llamadas realizadas ala API de Elastic Load Balancing y almacenarla en archivos de registro en Amazon S3. Utilice estosregistros de CloudTrailpara determinar qué llamadas se han efectuado, la dirección IP de origen de laque procede la llamada, quién la ha realizado, cuándo, etc. Para obtener más información, consulteRegistrar llamadas a la API del Balanceador de carga de red a través de AWS CloudTrail (p. 67).
53
Elastic Load Balancing Network Load BalancersCloudWatchMétricas de
CloudWatchMétricas de para el Balanceador decarga de red
Elastic Load Balancing publica los puntos de datos en Amazon CloudWatch de los balanceadores de cargay los destinos. CloudWatch le permite recuperar estadísticas sobre esos puntos de datos en un conjuntoordenado de datos de series temporales que reciben el nombre de métricas. Una métrica es una variableque hay que monitorizar y los puntos de datos son los valores de esa variable a lo largo del tiempo. Porejemplo, puede monitorizar el número total de destinos en buen estado de un balanceador de carga en unperiodo especificado. Cada punto de datos tiene una marca temporal asociada y una unidad de medidaopcional.
Puede utilizar estas métricas para comprobar si el sistema funciona de acuerdo con lo esperado. Porejemplo, puede crear una alarma de CloudWatch para monitorizar una métrica determinada e iniciar unaacción (por ejemplo, enviar una notificación a una dirección de correo electrónico) si la métrica no estácomprendida dentro del intervalo que considera aceptable.
Elastic Load Balancing únicamente notifica las métricas a CloudWatch mientras las solicitudes estánfluyendo a través del balanceador de carga. Si hay solicitudes fluyendo a través del balanceador de carga,Elastic Load Balancing mide y envía las métricas a intervalos de 60 segundos. Si no fluye ninguna solicituda través del balanceador de carga o no hay datos para una métrica, esta no se notifica.
Para obtener más información, consulte Guía del usuario de Amazon CloudWatch.
Contenido• Métricas del balanceador de carga de red (p. 54)• Dimensiones de métricas de Network Load Balancers (p. 60)• Estadísticas de las métricas de Balanceador de carga de red (p. 60)• Visualización de las métricas de CloudWatch en el balanceador de carga (p. 61)
Métricas del balanceador de carga de redEl espacio de nombres de AWS/NetworkELB incluye las siguientes métricas.
Métrica Descripción
ActiveFlowCount Número total de flujos (o conexiones) simultáneos de clientes a destinos.Esta métrica incluye las conexiones cuyo estado sea SYN_SENT oESTABLISHED. Las conexiones TCP no se terminan en el balanceadorde carga, por lo que un cliente que abre una conexión TCP con un destinose contabiliza como un solo flujo.
Criterios del informe: hay un valor distinto de cero
Estadísticas: las estadísticas más útiles son Average, Maximum yMinimum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
ActiveFlowCount_TCP Número total de flujos (o conexiones) TCP simultáneos de clientesa destinos. Esta métrica solo incluye las conexiones cuyo estado es
54
Elastic Load Balancing Network Load BalancersMétricas del balanceador de carga de red
Métrica DescripciónESTABLISHED (ESTABLECIDO). Las conexiones TCP no se terminan enel balanceador de carga, por lo que un cliente que abre una conexión TCPcon un destino se contabiliza como un solo flujo.
Criterios del informe: hay un valor distinto de cero
Estadísticas: las estadísticas más útiles son Average, Maximum yMinimum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
ActiveFlowCount_TLS Número total de flujos (o conexiones) TLS simultáneos de clientesa destinos. Esta métrica solo incluye las conexiones cuyo estado esESTABLISHED (ESTABLECIDO).
Criterios del informe: hay un valor distinto de cero
Estadísticas: las estadísticas más útiles son Average, Maximum yMinimum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
ActiveFlowCount_UDP Número total de flujos (o conexiones) UDP simultáneos de clientes adestinos.
Criterios del informe: hay un valor distinto de cero
Estadísticas: las estadísticas más útiles son Average, Maximum yMinimum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
ClientTLSNegotiationErrorCountNúmero total de protocolos de enlace TLS que no se han superadodurante la negociación entre un cliente y un agente de escucha TLS.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
55
Elastic Load Balancing Network Load BalancersMétricas del balanceador de carga de red
Métrica Descripción
ConsumedLCUs El número de unidades de capacidad del balanceador de carga (LCU)usadas por el balanceador de carga. Se paga por el número de LCUusadas a la hora. Para obtener más información, consulte Precios deElastic Load Balancing.
Criterios del informe: se informa siempre
Estadísticas: todas
Dimensions
• LoadBalancer
ConsumedLCUs_TCP El número de unidades de capacidad del balanceador de carga (LCU)usadas por el balanceador de carga para TCP. Se paga por el número deLCU usadas a la hora. Para obtener más información, consulte Precios deElastic Load Balancing.
Criterios del informe: se informa siempre
Estadísticas: todas
Dimensions
• LoadBalancer
ConsumedLCUs_TLS El número de unidades de capacidad del balanceador de carga (LCU)usadas por el balanceador de carga para TLS. Se paga por el número deLCU usadas a la hora. Para obtener más información, consulte Precios deElastic Load Balancing.
Criterios del informe: se informa siempre
Estadísticas: todas
Dimensions
• LoadBalancer
ConsumedLCUs_UDP El número de unidades de capacidad del balanceador de carga (LCU)usadas por el balanceador de carga para UDP. Se paga por el número deLCU usadas a la hora. Para obtener más información, consulte Precios deElastic Load Balancing.
Criterios del informe: se informa siempre
Estadísticas: todas
Dimensions
• LoadBalancer
56
Elastic Load Balancing Network Load BalancersMétricas del balanceador de carga de red
Métrica Descripción
HealthyHostCount El número de destinos que se considera que están en buen estado.
Criterios del informe: indica si se han activado las comprobaciones deestado
Estadísticas: las estadísticas más útiles son Maximum y Minimum.
Dimensions
• LoadBalancer, TargetGroup• AvailabilityZone, LoadBalancer, TargetGroup
NewFlowCount Número total de flujos (o conexiones) nuevos establecidos desde losclientes a los destinos en el periodo indicado.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
NewFlowCount_TCP Número total de flujos (o conexiones) TCP nuevos establecidos desde losclientes a los destinos en el periodo indicado.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
NewFlowCount_TLS Número total de flujos (o conexiones) TLS nuevos establecidos desde losclientes a los destinos en el periodo indicado.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
57
Elastic Load Balancing Network Load BalancersMétricas del balanceador de carga de red
Métrica Descripción
NewFlowCount_UDP Número total de flujos (o conexiones) UDP nuevos establecidos desde losclientes a los destinos en el periodo indicado.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
ProcessedBytes Número total de bytes procesados por el balanceador de carga, incluidoslos encabezados TCP/IP. Este recuento incluye el tráfico entrante ysaliente de los destinos, menos el tráfico de comprobación de estado.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
ProcessedBytes_TCP Número total de bytes procesados por los agentes de escucha TCP.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
ProcessedBytes_TLS Número total de bytes procesados por los agentes de escucha TLS.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
ProcessedBytes_UDP Número total de bytes procesados por los agentes de escucha UDP.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
58
Elastic Load Balancing Network Load BalancersMétricas del balanceador de carga de red
Métrica Descripción
TargetTLSNegotiationErrorCountNúmero total de protocolos de enlace TLS que no se han superadodurante la negociación entre un agente de escucha TLS y un destino.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
TCP_Client_Reset_Count Número total de paquetes de restablecimiento (RST) enviados de uncliente a un destino. Estos restablecimientos los genera el cliente y losreenvía el balanceador de carga.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
TCP_ELB_Reset_Count El número total de paquetes de restablecimiento (RST) generados por elbalanceador de carga.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
TCP_Target_Reset_Count Número total de paquetes de restablecimiento (RST) enviados de undestino a un cliente. Estos restablecimientos los genera el destino y losreenvía el balanceador de carga.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum.
Dimensions
• LoadBalancer
• AvailabilityZone, LoadBalancer
59
Elastic Load Balancing Network Load BalancersDimensiones de métricas de Network Load Balancers
Métrica Descripción
UnHealthyHostCount El número de destinos que se considera que no están en buen estado.
Criterios del informe: indica si se han activado las comprobaciones deestado
Estadísticas: las estadísticas más útiles son Maximum y Minimum.
Dimensions
• LoadBalancer, TargetGroup• AvailabilityZone, LoadBalancer, TargetGroup
Dimensiones de métricas de Network Load BalancersPara filtrar las métricas del balanceador de carga, use las siguientes dimensiones.
Dimensión Descripción
AvailabilityZone Filtra los datos de métricas por zona de disponibilidad.
LoadBalancer Filtra los datos de métricas por balanceador de carga. Especifique elbalanceador de carga del modo siguiente: net/nombre-balanceador-carga/1234567890123456 (la última parte del ARN del balanceador de carga).
TargetGroup Filtra los datos de métricas por grupo de destino. Especifique elgrupo de destino del modo siguiente: targetgroup/nombre-grupo-destino/1234567890123456 (la última parte del ARN del grupo de destino).
Estadísticas de las métricas de Balanceador de cargade redCloudWatch proporciona estadísticas en función de los puntos de datos de las métricas publicadas porElastic Load Balancing. Las estadísticas son agregaciones de los datos de las métricas correspondientesal periodo especificado. Cuando se solicitan estadísticas, el flujo de datos devuelto se identifica medianteel nombre de la métrica y su dimensión. Una dimensión es un par de nombre/valor que identifica unamétrica de forma inequívoca. Por ejemplo, puede solicitar estadísticas para todas las instancias EC2 enbuen estado que se encuentran tras un balanceador de carga lanzado en una zona de disponibilidadespecífica.
Las estadísticas Minimum y Maximum reflejan los valores mínimo y máximo de los puntos de datosregistrados en los nodos individuales del balanceador de carga en cada ventana de muestreo. Losincrementos del valor máximo de HealthyHostCount se corresponden con las reducciones del valormínimo de UnHealthyHostCount. Por lo tanto, se recomienda que para monitorizar su Balanceador decarga de red use el máximo de HealthyHostCount o el mínimo de UnHealthyHostCount.
La estadística Sum es el valor de la suma para todos los nodos del balanceador de carga. Dado que lasmétricas incluyen varios informes por periodo, Sum solo se aplica a las métricas que se suman en todos losnodos de balanceador de carga.
La estadística SampleCount representa el número de muestras medidas. Dado que las métricas serecopilan en función de determinados intervalos de muestreo y eventos, esta estadística no suele resultar
60
Elastic Load Balancing Network Load BalancersVisualización de las métricas de
CloudWatch en el balanceador de carga
útil. Por ejemplo, para HealthyHostCount, SampleCount se basa en el número de muestras quenotifica cada nodo del balanceador de carga, no en el número de hosts en buen estado.
Visualización de las métricas de CloudWatch en elbalanceador de cargaPuede ver las métricas de CloudWatch de los balanceadores de carga en la consola de Amazon EC2Estas métricas se muestran en gráficos de monitorización. Los gráficos de monitorización muestran puntosde datos si el balanceador de carga se encuentra activo y recibiendo solicitudes.
Si lo prefiere, puede ver las métricas del balanceador de carga en la consola de CloudWatch
Para consultar las métricas desde la consola de Amazon EC2
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Para ver las métricas filtradas por grupo de destino, haga lo siguiente:
a. En el panel de navegación, elija Target Groups.b. Seleccione el grupo de destino y elija Monitoring.c. (Opcional) Para filtrar los resultados por tiempo, seleccione un intervalo de tiempo en Showing
data for.d. Para obtener una vista más amplia de una misma métrica, seleccione su gráfico.
3. Para ver las métricas filtradas por balanceador de carga, haga lo siguiente:
a. En el panel de navegación, seleccione Load Balancers.b. Seleccione el balanceador de carga y elija Monitoring.c. (Opcional) Para filtrar los resultados por tiempo, seleccione un intervalo de tiempo en Showing
data for.d. Para obtener una vista más amplia de una misma métrica, seleccione su gráfico.
Para consultar las métricas desde la consola de CloudWatch
1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, seleccione Metrics.3. Seleccione el espacio de nombres NetworkELB.4. (Opcional) Para ver una métrica en todas las dimensiones, escriba su nombre en el campo de
búsqueda.
Para ver métricas mediante la AWS CLI
Utilice el siguiente comando list-metrics para obtener una lista de las métricas disponibles:
aws cloudwatch list-metrics --namespace AWS/NetworkELB
Para obtener las estadísticas de una métrica desde la AWS CLI
Utilice el siguiente comando get-metric-statistics para obtener las estadísticas de la métrica y dimensiónespecificadas. Tenga en cuenta que CloudWatch trata cada combinación exclusiva de dimensiones comouna métrica independiente. No se pueden recuperar estadísticas utilizando combinaciones de dimensionesque no se han publicado expresamente. Debe especificar las mismas dimensiones que se utilizaron alcrear las métricas.
61
Elastic Load Balancing Network Load BalancersLogs de acceso
aws cloudwatch get-metric-statistics --namespace AWS/NetworkELB \--metric-name UnHealthyHostCount --statistics Average --period 3600 \--dimensions Name=LoadBalancer,Value=net/my-load-balancer/50dc6c495c0c9188 \Name=TargetGroup,Value=targetgroup/my-targets/73e2d6bc24d8a067 \--start-time 2017-04-18T00:00:00Z --end-time 2017-04-21T00:00:00Z
A continuación, se muestra un ejemplo del resultado:
{ "Datapoints": [ { "Timestamp": "2017-04-18T22:00:00Z", "Average": 0.0, "Unit": "Count" }, { "Timestamp": "2017-04-18T04:00:00Z", "Average": 0.0, "Unit": "Count" }, ... ], "Label": "UnHealthyHostCount"}
Registros de acceso del Balanceador de carga dered
Elastic Load Balancing proporciona registros de acceso que capturan información detallada sobre lassolicitudes de TLS enviadas al Balanceador de carga de red. Puede utilizar estos registros de acceso paraanalizar los patrones de tráfico y solucionar problemas.
Important
Los registros de acceso se crean únicamente si el balanceador de carga tiene un agente deescucha TLS y si solo contienen información acerca de las solicitudes de TLS.
El registro de acceso es una característica opcional de Elastic Load Balancing que está deshabilitadade forma predeterminada. Una vez que se ha habilitado el registro de acceso del balanceador de carga,Elastic Load Balancing captura los registros como archivos comprimidos y los almacena en el bucket deAmazon S3 que se haya especificado. Puede deshabilitar el registro de acceso en cualquier momento.
Si habilita el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3) para el bucket de S3, cada archivo de registro de acceso se cifra automáticamente antes de quese almacene en el bucket de S3 y se descifra al acceder al mismo. No es necesario que haga nada,ya que no hay diferencia en la forma de acceder a los archivos de registro cifrados o sin cifrar. Cadaarchivo de registro se cifra con una clave única, que a su vez se cifra con una clave maestra que se rotaperiódicamente. Para obtener más información, consulte Protección de los datos con el cifrado del lado delservidor con claves de cifrado administradas por Amazon S3 (SSE-S3) en la Guía para desarrolladores deAmazon Simple Storage Service.
Los logs de acceso no suponen ningún cargo adicional. Se le cobrarán los costos de almacenamiento enAmazon S3, pero no el ancho de banda que Elastic Load Balancing utilice para enviar los archivos loga Amazon S3. Para obtener más información sobre los costos de almacenamiento, consulte Precios deAmazon S3.
62
Elastic Load Balancing Network Load BalancersArchivos de registro de acceso
Archivos de registro de accesoElastic Load Balancing publica un archivo log por cada nodo del balanceador de carga cada 5 minutos. Laentrega de logs presenta consistencia final. El balanceador de carga puede entregar varios logs para elmismo periodo. Esto suele ocurrir si el tráfico del sitio es elevado.
Los nombres de archivo de los logs de acceso utilizan el siguiente formato:
bucket[/prefix]/AWSLogs/aws-account-id/elasticloadbalancing/region/yyyy/mm/dd/aws-account-id_elasticloadbalancing_region_load-balancer-id_end-time_random-string.log.gz
bucket
Nombre del bucket de S3.prefijo
El prefijo (jerarquía lógica) del bucket. Si no especifica un prefijo, los logs se colocan en el nivel raíz elbucket.
aws-account-id
El ID de la cuenta de AWS del propietario.region
La región del balanceador de carga y del bucket de S3.aaaa/mm/dd
La fecha de entrega del log.load-balancer-id
ID de recurso del balanceador de carga. Si el ID de recurso contiene barras diagonales (/), estas sesustituyen por puntos (.).
end-time
La fecha y hora en que finalizó el intervalo de registro. Por ejemplo, la hora de finalización20181220T2340Z contiene las entradas correspondientes a las solicitudes realizadas entre las 23:35 ylas 23:40.
random-string
Una cadena generada aleatoriamente por el sistema.
Puede almacenar los archivos de log en su bucket todo el tiempo que desee, y también puede definirreglas de ciclo de vida de Amazon S3 para archivar o eliminar archivos de log automáticamente. Paraobtener más información, consulte Administración del ciclo de vida de los objetos en la Guía paradesarrolladores de Amazon Simple Storage Service.
Entradas de los registros de accesoEn la siguiente tabla se describen los campos de una entrada de log de acceso, por orden. Todos loscampos están delimitados por espacios. Cuando se introducen campos nuevos, se añaden al final dela entrada de log. Al procesar los archivos de registro, debe hacer caso omiso de todos los campos noesperados situados al final de la entrada de registro.
Campo Descripción
type Tipo de agente de escucha. El valor admitido es tls.
63
Elastic Load Balancing Network Load BalancersEntradas de los registros de acceso
Campo Descripción
versión Versión de la entrada de registro. La versión actual es 2.0.
tiempo El tiempo registrado al final de la conexión TLS en formato ISO 8601.
elb ID de recurso del balanceador de carga.
agente de escucha ID de recurso del agente de escucha TLS para la conexión.
client:port Dirección IP y puerto del cliente.
destination:port La dirección IP y el puerto de destino. Si el cliente se conecta directamenteal balanceador de carga, el destino es el agente de escucha. Si el cliente seconecta mediante un servicio de punto de enlace de VPC, el destino es elpunto de enlace de VPC.
connection_time Tiempo total para que se complete la conexión, desde el inicio al cierre, enmilisegundos.
tls_handshake_time Tiempo total para que se complete el protocolo de enlace TLS unavez establecida la conexión TCP, incluidos los retrasos del cliente, enmilisegundos. Este tiempo se incluye en el campo connection_time.
received_bytes Número de bytes recibidos por el balanceador de carga desde el clientedespués del descifrado.
sent_bytes Número de bytes enviados por el balanceador de carga al cliente antes delcifrado.
incoming_tls_alert Valor entero de las alertas TLS recibidas por el balanceador de carga desdeel cliente si lo hay. De lo contrario, este valor se establece en -.
chosen_cert_arn ARN del certificado suministrado al cliente. Si no se envía un mensaje desaludo de cliente válido, este valor se establece en -.
chosen_cert_serial Reservada para futura utilización. Este valor siempre se establece en -.
tls_cipher Conjunto de cifrado negociado con el cliente en formato de OpenSSL. Si lanegociación de TLS no se completa, este valor se establece en -.
tls_protocol_version Protocolo TLS negociado con el cliente en formato de cadena. Los valoresposibles son tlsv10, tlsv11 y tlsv12. Si la negociación de TLS no secompleta, este valor se establece en -.
tls_named_group Reservada para futura utilización. Este valor siempre se establece en -.
domain_name El valor de la extensión nombre_servidor del mensaje de saludo del cliente.Este valor está codificado como URL. Si no se ha enviado un mensaje desaludo de cliente válido o la extensión no está presente, el valor se estableceen -.
alpn_fe_protocol El protocolo de aplicación negociado con el cliente en formato de cadena.Los valores posibles son h2, http/1.1 y http/1.0. Si no se configuraninguna política de ALPN en el agente de escucha TLS, no se encuentraningún protocolo coincidente o no se envía ninguna lista de protocolos válida,este valor se establece en -.
64
Elastic Load Balancing Network Load BalancersRequisitos del bucket
Campo Descripción
alpn_be_protocol El protocolo de aplicación negociado con el destino en formato de cadena.Los valores posibles son h2, http/1.1 y http/1.0. Si no se configuraninguna política de ALPN en el agente de escucha TLS, no se encuentraningún protocolo coincidente o no se envía ninguna lista de protocolos válida,este valor se establece en -.
alpn_client_preference_list El valor de la extensión application_layer_protocol_negotiation en el mensajede saludo del cliente. Este valor está codificado como URL. Cada protocoloestá entre comillas dobles y los protocolos están separados por comas. Sino se configura ninguna política de ALPN en el agente de escucha TLS, nose envía ningún mensaje de saludo de cliente válido o la extensión no estápresente, este valor se establece en -. La cadena se trunca si tiene más de256 bytes.
Ejemplo de entradas de registroA continuación, se muestran ejemplos de entradas de log. Tenga en cuenta que el texto aparece en variaslíneas únicamente para facilitar su lectura.
A continuación se muestra un ejemplo para un agente de escucha TLS sin una política de ALPN.
tls 2.0 2018-12-20T02:59:40 net/my-network-loadbalancer/c6e77e28c25b2234 g3d4b5e8bb8464cd 72.21.218.154:51341 172.100.100.185:443 5 2 98 246 - arn:aws:acm:us-east-2:671290407336:certificate/2a108f19-aded-46b0-8493-c63eb1ef4a99 - ECDHE-RSA-AES128-SHA tlsv12 - my-network-loadbalancer-c6e77e28c25b2234.elb.us-east-2.amazonaws.com- - -
A continuación se muestra un ejemplo para un agente de escucha TLS con una política de ALPN.
tls 2.0 2020-04-01T08:51:42 net/my-network-loadbalancer/c6e77e28c25b2234 g3d4b5e8bb8464cd 72.21.218.154:51341 172.100.100.185:443 5 2 98 246 - arn:aws:acm:us-east-2:671290407336:certificate/2a108f19-aded-46b0-8493-c63eb1ef4a99 - ECDHE-RSA-AES128-SHA tlsv12 - my-network-loadbalancer-c6e77e28c25b2234.elb.us-east-2.amazonaws.comh2 h2 "h2","http/1.1"
Requisitos del bucketAl habilitar el registro de acceso, es preciso especificar un bucket de S3 para los logs de acceso. El bucketpuede pertenecer a otra cuenta que no sea la propietaria del balanceador de carga. El bucket debe cumplirlos siguientes requisitos.
Requirements
• El bucket debe estar ubicado en la misma región que el balanceador de carga.• El prefijo que especifique no debe incluir AWSLogs. Añadimos la parte del nombre del archivo que
empieza por AWSLogs después del nombre del bucket y el prefijo que especifique.• Amazon S3: se requieren claves de cifrado administradas (SSE-S3). No se admiten otras opciones de
cifrado.• El bucket debe tener una política que conceda permiso para escribir los registros de acceso en el bucket.
Las políticas de bucket son colecciones de instrucciones JSON escritas en el lenguaje de la política deacceso para definir los permisos de acceso al bucket. A continuación, se muestra un ejemplo de política.
65
Elastic Load Balancing Network Load BalancersHabilitar el registro de acceso
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket_name/prefix/AWSLogs/aws-account-id/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket_name" } ]}
Habilitar el registro de accesoAl habilitar el registro de acceso del balanceador de carga, debe especificar el nombre del bucket de S3donde el balanceador de carga almacenará los logs. Para obtener más información, consulte Requisitosdel bucket (p. 65).
Para habilitar el registro de acceso desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, seleccione Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Descriptions, elija Edit attributes.5. En la página Edit load balancer attributes, haga lo siguiente:
a. En Access logs (Registros de acceso), elija Enable (Habilitar).b. En S3 location, escriba el nombre del bucket de S3, incluido el prefijo, si lo hay (por ejemplo,
my-loadbalancer-logs/my-app). Puede especificar el nombre de un bucket existente o elnombre del bucket nuevo. Si especifica un bucket que ya existe, asegúrese de que posee estebucket y de que ha configurado la política de bucket correspondiente.
c. (Opcional) Si el depósito no existe, seleccione Crear esta ubicación. Debe especificar un nombreúnico entre todos los nombres de bucket existentes en Amazon S3 que respete las convencionesde nomenclatura de DNS. Para obtener más información, consulte Reglas para la nomenclaturade buckets en la Guía para desarrolladores de Amazon Simple Storage Service.
d. Seleccione Save (Guardar).
Para habilitar el registro de acceso desde la AWS CLI
66
Elastic Load Balancing Network Load BalancersDeshabilitar el registro de acceso
Utilice el comando modify-load-balancer-attributes.
Deshabilitar el registro de accesoPuedes deshabilitar el registro de acceso del balanceador de carga en cualquier momento. Después dedeshabilitar el registro de acceso, los logs de acceso permanecerán en el bucket de S3 hasta que loselimine. Para obtener más información, consulte Uso de buckets en la Guía del usuario de la consola deAmazon Simple Storage Service.
Para deshabilitar el registro de acceso desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, seleccione Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Descriptions, elija Edit attributes.5. En Access logs (Registros de acceso), desactive Enable (Habilitar).6. Seleccione Save (Guardar).
Para deshabilitar el registro de acceso desde la AWS CLI
Utilice el comando modify-load-balancer-attributes.
Procesamiento de archivos de registro de accesoLos archivos log de acceso están comprimidos. Si abre los archivos en la consola de Amazon S3, sedescomprimen y se muestra la información. Si descarga los archivos, debe descomprimirlos para ver lainformación.
Si existe una gran cantidad de demanda en el sitio web, el balanceador de carga puede generar archivoslog con gigabytes de datos. Es posible que no pueda procesar semejante cantidad de datos con elprocesamiento línea por línea. En tal caso, podría ser preciso utilizar herramientas de análisis que ofrezcansoluciones de procesamiento en paralelo. Por ejemplo, puede utilizar las siguientes herramientas deanálisis para analizar y procesar los logs de acceso:
• Amazon Athena es un servicio de consultas interactivo que facilita el análisis de datos en Amazon S3con SQL estándar. Para obtener más información, consulte Consulta de registros de Balanceador decarga de red en la Guía del usuario de Amazon Athena.
• Loggly• Splunk• Sumo Logic
Registrar llamadas a la API del Balanceador decarga de red a través de AWS CloudTrail
Elastic Load Balancing está integrado con AWS CloudTrail, un servicio que proporciona un registrode las acciones realizadas por un usuario, un rol o un servicio de AWS en Elastic Load Balancing.CloudTrail captura todas las llamadas a la API de Elastic Load Balancing como eventos. Las llamadascapturadas incluyen las llamadas desde Consola de administración de AWS y las llamadas de código alas operaciones de la API deElastic Load Balancing Si crea un registro de seguimiento, puede habilitar la
67
Elastic Load Balancing Network Load BalancersElastic Load BalancingInformación de en CloudTrail
entrega continua de eventos de CloudTrail a un bucket de Amazon S3, incluidos los eventos de ElasticLoad Balancing. Si no configura un registro de seguimiento, puede ver los eventos más recientes en laconsola de CloudTrail en el Event history (Historial de eventos). Mediante la información que recopilaCloudTrail, se puede determinar la solicitud que se envió a Elastic Load Balancing, la dirección IP desde laque se realizó la solicitud, quién realizó la solicitud, cuándo se realizó y detalles adicionales.
Para obtener más información sobre CloudTrail, consulte la AWS CloudTrail User Guide.
Elastic Load BalancingInformación de en CloudTrailCloudTrail se habilita en una cuenta de AWS al crearla. Cuando se produce una actividad en Elastic LoadBalancing, dicha actividad se registra en un evento de CloudTrail junto con los eventos de los demásservicios de AWS en el Event history (Historial de eventos). Puede ver, buscar y descargar los últimoseventos de la cuenta de AWS Para obtener más información, consulte Visualización de eventos con elhistorial de eventos de CloudTrail.
Para mantener un registro continuo de los eventos de la cuenta de AWS, incluidos los eventos de ElasticLoad Balancing, cree un registro de seguimiento. Un registro de seguimiento permite a CloudTrail enviararchivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registrode seguimiento en la consola, este se aplica a todas las regiones de AWS. El registro de seguimientoregistra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucketde Amazon S3 especificado. También puede configurar otros servicios de AWS para analizar y actuar enfunción de los datos de eventos recopilados en los registros de CloudTrail Para obtener más información,consulte los siguientes temas:
• Introducción a la creación de registros de seguimiento• CloudTrail Servicios e integraciones compatibles con• Configuración de notificaciones de Amazon SNS para CloudTrail• Recibir archivos de registro de CloudTrail de varias regiones y Recepción de archivos de registro de
CloudTrail de varias cuentas
Todas las acciones de Elastic Load Balancing para los Network Load Balancers se registran en CloudTraily se documentan en la Referencia de la API de Elastic Load Balancing versión 2015-12-01. Por ejemplo,las llamadas a las acciones CreateLoadBalancer y DeleteLoadBalancer generan entradas en losarchivos de registro de CloudTrail.
Cada entrada de registro o evento contiene información acerca de quién generó la solicitud. La informaciónde identidad del usuario le ayuda a determinar lo siguiente:
• Si la solicitud se realizó con credenciales de usuario raíz o de AWS Identity and AccessManagementIAM
• Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.• Si la solicitud la realizó otro servicio de AWS
Para obtener más información, consulte el elemento userIdentity de CloudTrail.
Descripción de las entradas de los archivos de registrode Elastic Load BalancingUn registro de seguimiento es una configuración que permite la entrega de eventos como archivos deregistro al bucket de Amazon S3 que se especifique. Los archivos de registro de CloudTrail contienenuna o varias entradas de registro. Un evento representa una única solicitud de cualquier origen e incluyeinformación sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud,
68
Elastic Load Balancing Network Load BalancersDescripción de las entradas de los archivos
de registro de Elastic Load Balancing
etcétera. Los archivos de registro de CloudTrail no son un rastro de la pila ordenada de las llamadas a laAPI públicas, por lo que no aparecen en ningún orden específico.
Los archivos de registro incluyen los eventos de todas las llamadas a las API de AWS correspondientesa su cuenta de AWS, no solo las llamadas a la API de Elastic Load Balancing Para localizar lasllamadas a la API de Elastic Load Balancing, compruebe si hay elementos eventSource con el valorelasticloadbalancing.amazonaws.com. Para ver un registro de una acción específica (por ejemplo,CreateLoadBalancer), compruebe la existencia de elementos eventName con el nombre de la acción.
El siguiente es un ejemplo de registros de CloudTrail para Elastic Load Balancing de un usuario quecreó un Balanceador de carga de red y, después, lo eliminó mediante la AWS CLI. Puede identificar laCLI mediante los elementos userAgent Puede identificar las llamadas al API solicitadas mediante loseventName Encontrará la información sobre el usuario (Alice) en el elemento userIdentity
Example Ejemplo: CreateLoadBalancer
{ "eventVersion": "1.03", "userIdentity": { "type": "IAMUser", "principalId": "123456789012", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-04-01T15:31:48Z", "eventSource": "elasticloadbalancing.amazonaws.com", "eventName": "CreateLoadBalancer", "awsRegion": "us-west-2", "sourceIPAddress": "198.51.100.1", "userAgent": "aws-cli/1.10.10 Python/2.7.9 Windows/7 botocore/1.4.1", "requestParameters": { "subnets": ["subnet-8360a9e7","subnet-b7d581c0"], "securityGroups": ["sg-5943793c"], "name": "my-load-balancer", "scheme": "internet-facing", "type": "network" }, "responseElements": { "loadBalancers":[{ "type": "network", "ipAddressType": "ipv4", "loadBalancerName": "my-load-balancer", "vpcId": "vpc-3ac0fb5f", "securityGroups": ["sg-5943793c"], "state": {"code":"provisioning"}, "availabilityZones": [ {"subnetId":"subnet-8360a9e7","zoneName":"us-west-2a"}, {"subnetId":"subnet-b7d581c0","zoneName":"us-west-2b"} ], "dNSName": "my-load-balancer-1836718677.us-west-2.elb.amazonaws.com", "canonicalHostedZoneId": "Z2P70J7HTTTPLU", "createdTime": "Apr 11, 2016 5:23:50 PM", "loadBalancerArn": "arn:aws:elasticloadbalancing:us-west-2:123456789012:loadbalancer/net/my-load-balancer/ffcddace1759e1d0", "scheme": "internet-facing" }] }, "requestID": "b9960276-b9b2-11e3-8a13-f1ef1EXAMPLE", "eventID": "6f4ab5bd-2daa-4d00-be14-d92efEXAMPLE", "eventType": "AwsApiCall", "apiVersion": "2015-12-01", "recipientAccountId": "123456789012"
69
Elastic Load Balancing Network Load BalancersDescripción de las entradas de los archivos
de registro de Elastic Load Balancing
}
Example Ejemplo: DeleteLoadBalancer
{ "eventVersion": "1.03", "userIdentity": { "type": "IAMUser", "principalId": "123456789012", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-04-01T15:31:48Z", "eventSource": "elasticloadbalancing.amazonaws.com", "eventName": "DeleteLoadBalancer", "awsRegion": "us-west-2", "sourceIPAddress": "198.51.100.1", "userAgent": "aws-cli/1.10.10 Python/2.7.9 Windows/7 botocore/1.4.1", "requestParameters": { "loadBalancerArn": "arn:aws:elasticloadbalancing:us-west-2:123456789012:loadbalancer/net/my-load-balancer/ffcddace1759e1d0" }, "responseElements": null, "requestID": "349598b3-000e-11e6-a82b-298133eEXAMPLE", "eventID": "75e81c95-4012-421f-a0cf-babdaEXAMPLE", "eventType": "AwsApiCall", "apiVersion": "2015-12-01", "recipientAccountId": "123456789012"}
70
Elastic Load Balancing Network Load BalancersA registered target is not in service
Troubleshoot your Balanceador decarga de red
La siguiente información puede ayudarle a solucionar problemas con su Balanceador de carga de red.
A registered target is not in serviceSi un destino está tardando más de lo previsto en pasar al estado InService, es posible que noesté superando las comprobaciones de estado. El destino no estará operativo hasta que supere lacomprobación de estado. Para obtener más información, consulte Comprobaciones de estado de losgrupos de destino (p. 40).
Examine la instancia para ver si hay algún error en las comprobaciones de estado y revise lo siguiente:
Hay un grupo de seguridad que no permite el tráfico
Los grupos de seguridad asociados a una instancia deben permitir el tráfico del balanceador de cargaa través del puerto y el protocolo de comprobación de estado. Para obtener más información, consulteGrupos de seguridad de destino (p. 46).
Hay una lista de control de acceso (ACL) de red que no permite el tráfico
El ACL de red asociado a las subredes de sus instancias y las subredes del equilibrador de cargadeben permitir el tráfico y las comprobaciones de estado del equilibrador de carga. Para obtener másinformación, consulte ACL de red (p. 47).
Requests are not routed to targetsCompruebe lo siguiente:
Hay un grupo de seguridad que no permite el tráfico
Los grupos de seguridad asociados a las instancias deben permitir el tráfico procedente de lasdirecciones IP (si los destinos se especifican mediante el ID de instancia) o de los nodos delbalanceador de carga (si los destinos se especifican mediante una dirección IP) en el puerto deescucha. Para obtener más información, consulte Grupos de seguridad de destino (p. 46).
Hay una lista de control de acceso (ACL) de red que no permite el tráfico
Las ACL de red asociadas con las subredes de la VPC deben permitir que el balanceador de cargay los destinos se comuniquen en ambas direcciones en el puerto de escucha. Para obtener másinformación, consulte ACL de red (p. 47).
Los destinos se encuentran en una zona de disponibilidad que no está habilitada
Si registra los destinos en una zona de disponibilidad pero no la habilita, estos destinos registrados norecibirán tráfico del balanceador de carga.
La instancia está en una VPC interconectada
Si tiene instancias en una VPC interconectada con la VPC del balanceador de carga, debe registrarlasen el balanceador de carga por dirección IP, no por ID de instancia.
71
Elastic Load Balancing Network Load BalancersTargets receive more health check requests than expected
Targets receive more health check requests thanexpected
Las comprobaciones de estado de un Balanceador de carga de red se distribuyen y utilizan un mecanismode consenso para determinar el estado de un destino. Por tanto, los destinos reciben un número mayor decomprobaciones de estado que el que se estableció en el ajuste HealthCheckIntervalSeconds.
Targets receive fewer health check requests thanexpected
Compruebe si net.ipv4.tcp_tw_recycle está habilitado. Se sabe que este ajuste causa problemascon los balanceadores de carga. El ajuste net.ipv4.tcp_tw_reuse se considera una alternativa mássegura.
Unhealthy targets receive requests from the loadbalancer
Si al menos uno de los destinos registrados en el balanceador de carga está en buen estado, elbalanceador de carga solamente direccionará las solicitudes a los destinos registrados que tengan unestado correcto. Si ninguno de los destinos registrados tiene un estado correcto, el balanceador de cargadireccionará las solicitudes a todos los destinos registrados.
Target fails HTTP or HTTPS health checks due tohost header mismatch
El encabezado de host HTTP en la solicitud de comprobación de estado contiene la dirección IP del nododel balanceador de carga y el puerto del agente de escucha, no la dirección IP del destino y el puertode comprobación de estado. Si está asignando solicitudes entrantes por encabezado de host, debeasegurarse de que las comprobaciones de estado coincidan con cualquier encabezado de host HTTP. Otraopción es agregar un servicio HTTP independiente en un puerto diferente y configurar el grupo de destinopara que utilice ese puerto para comprobaciones de estado en su lugar. Alternativamente, plantéese el usode comprobaciones de estado TCP.
Connections time out for requests from a target toits load balancer
Compruebe si tiene un balanceador de carga interno con destinos registrados mediante el ID de instancia.Los balanceadores de carga internos no admiten la redirección al origen (hairpinning) ni el bucle invertido(loopback). Cuando se registran destinos utilizando el ID de instancia, se conservan las direcciones IPde origen de los clientes. Si una instancia es un cliente de un balanceador de carga interno que estáregistrado mediante el ID de instancia, la conexión solamente se realizará correctamente si la solicitud se
72
Elastic Load Balancing Network Load BalancersPerformance decreases when moving
targets to a Balanceador de carga de red
direcciona a otra instancia. De lo contrario, las direcciones IP de origen y destino serán las mismas y seagotará el tiempo de espera de la conexión.
Si una instancia debe enviar solicitudes a un balanceador de carga con el que está registrada, realice unade las siguientes operaciones:
• Register instances by IP address instead of instance ID. When using Amazon Elastic Container Service,use the awsvpc network mode with your tasks to ensure that target groups require registration by IPaddress.
• Ensure that containers that must communicate are on different container instances.• Use an Internet-facing load balancer.
Performance decreases when moving targets to aBalanceador de carga de red
Los Classic Load Balancers y los Application Load Balancers utilizan la multiplexación de conexiones,mientras que los Network Load Balancers no. Por tanto, los destinos puede recibir más conexiones TCPdetrás de un Balanceador de carga de red. Asegúrese de que los destinos estén listos para administrar elvolumen de solicitudes de conexión que reciben.
Port allocation errors connecting through AWSPrivateLink
Si Balanceador de carga de red está asociado con un servicio de punto de enlace de la VPC, admitirá55 000 conexiones simultáneas o unas 55 000 conexiones por minuto con cada uno de los distintosdestinos (dirección IP y puerto). Si se superan estas conexiones, existe un mayor riesgo de errores deasignación de puertos. Para solucionar los errores de asignación de puertos, añada más destinos al grupode destino.
73
Elastic Load Balancing Network Load Balancers
Cuotas para sus Network LoadBalancers
La cuenta de AWS tiene cuotas predeterminadas para cada servicios de AWS (estas cuotas sedenominaban anteriormente "límites"). A menos que se indique otra cosa, cada cuota es específica de laregión. Puede solicitar el aumento de algunas cuotas, pero otras no se pueden aumentar.
Para ver las cuotas de su Network Load Balancers, abra la consola de Cuotas de servicio. En el panel denavegación, seleccione AWS Services (Servicios de AWS) y elija Elastic Load Balancing. También puedeutilizar el comando describe-account-limits (AWS CLI) para Elastic Load Balancing.
Para solicitar un aumento de cuota, consulte Solicitar un aumento de cuota en la Guía del usuario deCuotas de servicio. Si la cuota aún no está disponible en Cuotas de servicio, utilice el formulario deaumento de límite de Elastic Load Balancing.
La cuenta de AWS incluye las siguientes cuotas en relación con Network Load Balancers.
Regional
• Network Load Balancers por región: 50• Balanceador de carga de red ENI por Amazon VPC: 300 *• Grupos de destino por región: 3000 **.
* Cada balanceador de carga de red utiliza una ENI por zona.
** Esta cuota se comparte entre los grupos de destino de los Application Load Balancers y los NetworkLoad Balancers.
Balanceador de carga
• Agentes de escucha por balanceador de carga: 50• Destinos por balanceador de carga: 3,000• Subredes por zona de disponibilidad por balanceador de carga: 1• [Balance de cargas entre zonas inhabilitado] Destinos por zona de disponibilidad por balanceador de
carga: 500• [Balance de cargas entre zonas habilitado] Destinos por balanceador de carga: 500• Certificados por balanceador de carga (sin contar los predeterminados): 25
Grupo de destinos
• Balanceadores de carga por grupo de destino: 1• Destinos por grupo de destino: 1,000
74
Elastic Load Balancing Network Load Balancers
Historial de revisión de Network LoadBalancers
En la tabla siguiente se describen las versiones de las Network Load Balancers.
update-history-change update-history-description update-history-date
Política de seguridad para FSque admite TLS versión 1.2
Esta versión añade una políticade seguridad para ForwardSecrecy (FS) que admite TLSversión 1.2.
November 24, 2020
Terminación de la conexióndurante la anulación delregistro (p. 75)
Esta versión incorpora soportepara cerrar conexiones adestinos anulados del registrodespués del final del tiempo deespera de anulación del registro.
November 13, 2020
Modo de doble pila Esta versión incorporacompatibilidad con el modode doble pila, lo que permitea los clientes conectarse albalanceador de carga mediantedirecciones IPv4 e IPv6.
November 13, 2020
Políticas de ALPN Esta versión agregacompatibilidad para las listas depreferencias de negociación deprotocolo de capa de aplicación(ALPN).
May 27, 2020
Sesiones rápidas Esta versión agrega soporte parasesiones rápidas basadas enel protocolo y la dirección IP deorigen.
February 28, 2020
Subredes compartidas (p. 75) Esta versión le permiteespecificar subredes que secompartieron con usted desdeotra cuenta de AWS.
November 26, 2019
Direcciones IPprivadas (p. 75)
Esta versión le permiteproporcionar una dirección IPprivada desde el intervalo dedirecciones IPv4 de la subredque especifique al habilitar unazona de disponibilidad para unbalanceador de carga interno.
November 25, 2019
Añadir subredes (p. 75) Esta versión añade lacompatibilidad para habilitarzonas de disponibilidadadicionales después de crear elbalanceador de carga.
November 25, 2019
75
Elastic Load Balancing Network Load Balancers
Compatibilidad con SNI Esta versión incorpora soportepara Indicación de nombre deservidor (SNI).
September 12, 2019
Protocolo UDP (p. 75) Esta versión incorporacompatibilidad con el protocoloUDP.
June 24, 2019
Protocolo TLS Esta versión incorporacompatibilidad con el protocoloTLS.
January 24, 2019
Balance de carga entrezonas (p. 75)
Esta versión incorporacompatibilidad para habilitar elbalance de carga entre zonas.
February 22, 2018
Proxy Protocol Esta versión incorporacompatibilidad para habilitarProxy Protocol.
November 17, 2017
Direcciones IP como destinos Esta versión añade soporte pararegistrar direcciones IP comodestinos.
September 21, 2017
Nuevo tipo de balanceador decarga (p. 75)
En esta versión de Elastic LoadBalancing, se han incluido losNetwork Load Balancers.
September 7, 2017
76
Elastic Load Balancing Network Load Balancers
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre latraducción y la version original de inglés, prevalecerá la version en inglés.
lxxvii