AWSにおけるALB&NLBのBlue/Greenデプロイメント設計 - How elegant the tech world is...!
はじめに どうも、iselegant です。 前回、執筆した商業誌について本ブログで紹介させていただいたところ、大変多くの反響がありました。 コメントをくれた方、書籍に関心を持っていただいた方、本当にありがとうございます🙇 AWSコンテナ設計・構築[本格]入門 | 株式会社野村総合研究所, 新井雅也, 馬勝淳史, NRIネットコム株式会社, 佐々木拓郎 |本 | 通販 | Amazon 本日から少しの間、分量調整と締め切りの都合上、商業誌では執筆しきれなかった AWS 設計に関するサイドトピックについて、本ブログ上でご紹介したいと思います。 今日はALB (Application Load Balancer) と NLB (Network Load Balancer) の Blue/Green デプロイメントに関する設計がテーマです。 AWS で Web アプリケーションの可用性とパフォ
NLB + Fluentd の構成でファイルディスクリプタが枯渇する謎の現象を解消した話 - Repro Tech Blog
Repro インフラチーム (SRE + 分析基盤) の伊豆です。今回は、Repro のデータ収集基盤で私たちが遭遇した問題を紹介したいと思います。 具体的には、AWS Network Load Balancer(NLB) + Fluentd の構成でファイルディスクリプタが枯渇する謎の現象に遭遇したので、その問題の調査記録と解決策を共有します。また、この問題を解消するにあたり Fluentd に PR を送ったのでそれの紹介もします。 https://github.com/fluent/fluentd/pull/2352 データ収集基盤の構成 Repro のデータ収集基盤はFlunetd High Availability Configをもとに構成され、大まかに次のようになっています。 SDK からアップロードされたデータは、転送用 Fluentd(log forwarders)を経由し
(小ネタ)NLBへ疎通確認する時はレイヤ4(トランスポート層)のコマンドを使用してほしい | DevelopersIO
この状態で再度ping,tracepathコマンドを実行しましたが、結果は変わりませんでした。。 どうやらNLBの仕様として、設定済みのリスナーに一致しないネットワークトラフィックは意図しないトラフィックとしてターゲットに転送せずにドロップするようです。 設定済みのリスナーに送信されるすべてのネットワークトラフィックが、意図されたトラフィックとして分類されます。設定済みのリスナーに一致しないネットワークトラフィックが、意図しないトラフィックとして分類されます。Type 3 以外の ICMP リクエストも、意図しないトラフィックとみなされます。Network Load Balancer は、意図しないトラフィックをターゲットに転送せずにドロップします。 出典:Network Load Balancer のリスナー - Elastic Load Balancing Pingで使われれるのはIC
AWS のFargate でめちゃくちゃハマった 結論からいうと動かない原因は、ロードバランサーのターゲットの種類はipである必要があった。 これは公式ドキュメントにも当然書いてある https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/AWS_Fargate.html awsvpc ネットワークモードを使用するタスクを含むサービス (例: 起動タイプが Fargate のサービス) では ... ターゲットタイプとして instance ではなく、ip を選択する必要があります。 この問題にハマるポイントは2つあって、 ターゲットの種類のデフォルトは instance なので、特に何も考えずに設定すると instance になってしまう サービスを Fargate で構築する時、ターゲットグループが insta
前回のブログ では プロキシサーバー シングル構成の検証環境を構築しました。 今回は 高可用性(HA)を目的としたプロキシサーバー冗長化 を検証してみます。 想定する本番環境は下記の通り。 ※ そもそもプロキシサーバーを使用している理由 などは前回のブログを参照ください 目次 環境構築 NLB セキュリティグループ プロキシサーバーのAMI Auto Scaling Group 検証 接続・ステータス確認 インスタンスを止めてみる おわりに 環境構築 検証環境は以下のとおりです。 2つの Availability Zone(AZ) にそれぞれサブネットを作成 プロキシサーバーを 2サブネットに配置する Auto Scaling Group を作成 Network Load Balancer (NLB) を使って ターゲットを分散 APPサーバーから NLB → Proxyサーバー経由で S
NLBにElastic IP(EIP)をアタッチしてもそのIPが使われない場合がある | DevelopersIO
インターネット向けのNLB(Network Load Balancer)を作成する場合は、必要に応じてサブネットごとにElastic IPアドレス(以下EIP)を指定することができます。 ですが状況によってはこのEIPが使われないケースがあることを学びましたので、レポートします。 もう少し厳密に書くと、NLB作成時に指定したサブネットが一部使われないケースがあります。従ってそのサブネットのEIPが使われなくなります。 結論から先に 2サブネットにまたがるインターネット向けNLBを作成したとします。 アベイラビリティーゾーン(以下AZ)毎に1サブネットのみ選択可能なため、これは2AZにまたがるNLBとも言えます。 それぞれのAZ毎にEIPを指定します。つまり2つのEIPがこのNLBには紐付いています。 この時、NLBエンドポイント(DNS名)に対するdigコマンド結果は以下になります。 He
女子ワールドカップでアメリカ女子代表を通算4度目の優勝に導き、得点王と大会最優秀選手も受賞したMFミーガン・ラピノー(@mPinoe)に対し、日本国内で活躍する北アメリカ出身のプロ野球選手からツイッターを通じて批判の声が上がっている。 「ヘイ、@mPinoe。アメリカをそんなにひどく憎んでいるなら、出て行け! 誰も止めたりしない」(福岡ソフトバンクホークス デニス・サファテ @dsarfate) 「@dsarfate わかる。他のところがどうなのか見に行け」(読売ジャイアンツ スコット・マシソン @mathieson_scott) レズビアンであることを公言しているラピノーはこれまで、LGBTの権利を認めないドナルド・トランプ大統領をたびたび批判。W杯前のインタビューで「(優勝しても)クソみたいなホワイトハウスには行かない」と発言したのをきっかけに、トランプ大統領が「喋る前にまず勝つべきだ
[アップデート] Network Load Balancer で TLS ALPN がサポートされたので HTTP/2 が可能になりました。 | DevelopersIO
[アップデート] Network Load Balancer で TLS ALPN がサポートされたので HTTP/2 が可能になりました。 本日のアップデートで Network Load Balancer(NLB)が TLS ALPN(Application-Layer Protocol Negotiation) をサポートするようになりました。 Network Load Balancer now supports TLS ALPN Policies 何が嬉しいのか TLS リスナーで HTTP/2 が利用可能に これまで NLB の TLS リスナーでは ALPN に対応していなかったため、HTTP/2 で受けることが出来ませんでした。そのため、NLB を介した HTTP/2 通信をするには TLS リスナーではなく TCP リスナーとして NLB を構成する必要がありました。 この場
Oji-Cloud クラウドとテクノロジーが人生をHappyにする。クラウドインテグレーターに転職したぱぱエンジニアが発信するテクニカルブログ。 概要 はじめに ここ最近NLBを使ったシステムを構築していますので、本日はALB、NLBロードバランサーの比較と、NLBの特徴を中心に記事にまとめたいと思います。 ALB、NLBとは ALB、NLBのどちらもELB(Elastic Load Balancing)の1つです。ELBはAWSが提供するロードバランサーであり、受信したアプリケーションまたはネットワークトラフィックをEC2 インスタンス、コンテナなど、複数のターゲットに分散させることが可能です。 ALB、NLBは、ヘルスチェックを利用して、異常なターゲットを検出すると、それらのターゲットに対するトラフィックの送信を中止し、残りの正常なターゲットに負荷を分散できます。 以下に、ALB、NL
Network Load Balancer (NLB) のソースIPアドレスに思いを馳せてみた | DevelopersIO
エンドのターゲットのセキュリティグループルールでは上述のIPアドレスからのアクセスを許可すれば良い クライアントIPアドレスの保持を無効にした場合は、ターゲットのセキュリティグループでNLBのIPアドレスのみに通信を制御したとしても、効果は薄い PrivateLinkを使用することで異なるVPCからNLBへの送信元は制御できる どうしても同じVPC内の通信を制御したい場合はNetwork ACLを使用する 個人的には運用が辛くなる予感がするのでおすすめしない 実はAWS公式ドキュメントでNLBを使用する際のセキュリティグループやNetwork ACLの推奨ルールが公開されている ターゲットグループへのターゲットの登録 - Elastic Load Balancing AWS公式ドキュメントを眺めてみる まず、AWS公式ドキュメントをニヤニヤしながら眺めてみます。 ターゲットグループではクラ
NLBとALBの直接接続する際の注意点
AWSのNLBとALBを直接接続した構成を構築する機会があった。せっかくなので検証した内容などを記録しておく。 なお、この機能の利用方法は下記ドキュメントに記載されている。 Application Load Balancers as targets 背景 最近、下記要件を満たすようにELBを構成する必要があった。 ホストベースルーティング機能が必要 固定IPである必要がある これら要件を満たすには単純にALBやNLBを1つ立てればよいとはならない。 というのも1の要件を満たすにはALB、2の要件を満たすにはNLBを利用する必要がある。 以前も同様の要件で構築したことがあるが、そのときは下記構成で構築した。 固定IP化をNLBで行い、リクエストをnginxを用いたプロキシサーバを用いてALBへパススルーすることで実現した。 しかし今回は、下記構成で構築した。 この構成は9月末に発表された機能
[小ネタ] 1つの NLB を API Gateway VPC integration と PrivateLink で共有する | DevelopersIO
こんにちは、菊池です。 小ネタです。NLB(Network Load Balancer)を使って外部にサービスを公開する機能として、API Gatewayを使うVPC統合(VPC Link)とVPC間で共有するPrivateLinkがあります。この2つの機能で、1つのNLBを共有できないか試しました。 API GatewayのVPC統合(VPC Link)とPrivateLinkについてはそれぞれ以下の記事で紹介しています。 【新機能】API Gateway VPC integrationを使ってみた #reinvent 【新機能】PrivateLinkで独自エンドポイントを作ってアプリをプライベート公開する #reinvent やりたかったこと 今回やりたかったことは、以下のように1つのNLB配下で動作するサービス(API)を、API Gatewayによるインターネットへの公開と、Pri
![[小ネタ] 1つの NLB を API Gateway VPC integration と PrivateLink で共有する | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/5ad4151a0f7cc53e37a5df16dda496ed03757a11/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-vpc-private-link.png)
(こちらの記事はCAM Advent Calendar の3日目の記事でもあります。) 最近、AWSのロードバランサーのNetwork Load Balancer(NLB)にふれる機会があったのでそれについて。 Application Load Balamcer(ALB)と比較しながら書いていこうと思います。 AWSのロードバランサー AWSのElastic Load Balancer(ELB)には以下の3つが存在します。 ・Classic Load Balancer(CLB) ・Application Load Balamcer(ALB) ・Network Load Balancer(NLB) 上記、古い順に並べてみました。 CLBとALBに関しては一般的なイメージのもので、requestを受付け、各アベイラビリティーゾーン内のターゲットグループにトラフィックを分散させていくものです。
Elastic Load Balancing の Network Load Balancer で、Application-Layer Protocol Negotiation (ALPN) ポリシーのサポートが開始されました。ALPN は、すべての主要ブラウザでサポートされている TLS 拡張であり、HTTP/2 などの TLS 接続確立後に使用されるプロトコルのネゴシエーションを可能にします。ALPN ポリシーを使用すれば、アプリケーションの TLS HTTP/2 トラフィックの復号/暗号化を Network Load Balancer にオフロードできるようになり、サービスのセキュリティ体制が向上し、運用上の複雑さも軽減されます。 ALPN ポリシーを Network Load Balancer の TLS リスナーにアタッチするだけで開始できます。ポリシーは、アプリケーションのプロト
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
社内勉強会でAWSのVPCやELBについて講師として説明をした。 NATとNLBに関しては以下のような解説。 「NATはプライベートサブネットから外部に接続するためのもの、つまりyumとかcurlとかをするのに必要なもの。NATインスタンスとNATゲートウェイがあるよ。」 「NLBの経路はクライアント→NLB→サーバ→クライアントで、IPの書き換えを行わないよ。ちなみにALBの場合はクライアント→ALB→サーバ→ALB→クライアントで、IPをALBのものに書き換えるよ。」 ただ、説明しているうちにNLBの経路についてちゃんとして理解ができていなかったので、色々調べなおしてみた。 NLBの通信経路だが、もう少し詳しく書くと「クライアント→NLB→サーバ→NAT→IGW→クライアント」となる(と思っていた)。 つまり、NATがないとレスポンスが返せない事になるが、本当にそうなのか確認した。 N
Announcing new AWS Network Load Balancer (NLB) availability and performance capabilities
AWS Network Load Balancer (NLB) now supports Availability Zone DNS affinity, disable connection termination for unhealthy targets, and UDP connection termination by default. Availability Zonal DNS affinity: This capability resolves DNS such that clients resolving the NLB DNS receive the load balancer IP addresses in the same Availability Zone (AZ) they are in. It enables customers to build zonally
AWS Black Belt Online Seminar は毎回、素晴らしい内容です。 2017 年公開の資料なので、最新の情報ではありませんが NLB の基本的動作については ELB Update - Network Load Balancer (NLB) と関連サービス に分かりやすく、且つ、丁寧にかかれています。 この資料の P.20 に下記の記載があります。 クライアントの Source IP と Port が、そのまま Target まで届く Target はクライアントと直接通信しているかの様に見える 実際は、行きも帰りも NLB を通っている (DSR ではない) IP Target (後述) の場合は保持されず、NLB からの通信となる Direct Connect は接続されている VPC からのみ通信可能なので、こちらで回避 Instance Target で NLB
AWS Load Balancer Update – Lots of New Features for You! | Amazon Web Services
AWS News Blog AWS Load Balancer Update – Lots of New Features for You! The AWS Application Load Balancer (ALB) and Network Load Balancer (NLB) are important parts of any highly available and scalable system. Today I am happy to share a healthy list of new features for ALB and NLB, all driven by customer requests. Here’s what I have: Weighted Target Groups for ALB Least Outstanding Requests for ALB
NLBでオンプレ・AWSの様々なターゲットIPと重複するポートへの通信を振り分ける | DevelopersIO
クライアント側で宛先側のポート指定が可能であれば、それぞれ一意のポート番号単位で、ターゲット側のポート番号とIPの組み合わせを変えるといった方法です。 これを行うと、クライアントとNLB間はリスナー側ポート番号で通信し、NLBとターゲット間はターゲットグループ側ポート番号で通信することが可能です。 やってみた NLBがメインなので以下リソースの構築は割愛します。 VPC関連(サブネット、ルートテーブルなど) VPCピアリング クライアント・ターゲットサーバのEC2インスタンス セキュリティグループ NLBを作成する 今回はTerraformで構築しています。 以下がサンプルのTerraformのtfファイルとなります。 nlb.tf ######################################################### # NLB: example-nlb ##
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS の Fargate のロードバランサーの設定でめちゃくちゃハマった - おろログ
HA構成プロキシ環境を NLBを使って構築してみる | DevelopersIO
女子W杯優勝MFラピノーへ…日本のプロ野球選手「アメリカを出て行け」「わかる」 | ゲキサカ
ALB、NLBロードバランサーの特徴比較 | Oji-Cloud
AWSのロードバランサー、NLBとALBを比較してみた。 - ヘヴィメタル・エンジニアリング
Network Load Balancer が TLS ALPN ポリシーのサポートを開始
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
【AWS】NLBの通信経路について今一度確認する - MOテクノロジー
AWS NLB は Source IP/Port を維持するが DSR 動作はしない - らくがきちょう