Geekflare
[gtranslate]
Geekflare est soutenu par son public. Nous pouvons percevoir des commissions d'affiliation sur les liens d'achat présents sur ce site.
En Informatique en nuage et Développement  |  Dernière mise à jour : 16 septembre 2023
Partager sur :
Invicti Web Application Security Scanner - la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Équilibreur de charge d'application : Tout ce que vous devez savoir

Par
équilibreur de charge d'application

Les équilibreurs de charge d'application assurent intelligemment l'évolutivité, les performances et la disponibilité. Ils garantissent également que vos serveurs ne sont pas surchargés et qu'ils sont prêts à gérer les pics de trafic.

L'infrastructure de sécurité de toute équipe informatique repose sur des répartiteurs de charge. Les équilibreurs de charge permettent à votre application de gérer le trafic entrant. Dans cet article, nous aborderons plus en détail l'Application Load Balancer sur AWS.

Qu'est-ce qu'un équilibreur de charge d'application ?

L'Application Load Balancer, ou ALB, est un système d'équilibrage de la charge de l'application. Équilibreur de charge élastique ou ELB sur AWS. Il opère au niveau de la couche application (la septième couche) du système d'information de l'entreprise. Modèle d'interconnexion des systèmes ouverts (OSI).

Les ALB ont trois composantes : les auditeurs, l'équilibreur de charge et le groupe cible. Après avoir reçu une demande, l équilibreur de charge évalue le règles applicables aux auditeurs par ordre de priorité (pour choisir la règle à exécuter). Il sélectionne ensuite une cible dans la liste des groupe cible pour l'action de la règle.

Vous pouvez définir des règles d'écoute pour envoyer des requêtes à différents groupes cibles en fonction du contenu du trafic de l'application. L'algorithme de routage par défaut pour les ALB est Round-robin ; cependant, vous pouvez choisir la technique de routage des requêtes les moins en suspens.

Au fur et à mesure que vos besoins évoluent, vous pouvez supprimer et ajouter des cibles à votre équilibreur de charge sans interrompre le flux général de requêtes de votre application.

Équilibrage élastique de la charge (ELB) vous permet de faire évoluer votre équilibreur de charge en fonction de l'évolution du trafic de votre application. Tous les Elastic Load Balancers peuvent s'adapter automatiquement à la grande majorité des charges de travail.

Vous pouvez également mettre en place des contrôles de santé pour surveiller l'état de votre application sur les cibles enregistrées afin que l'équilibreur de charge n'envoie des requêtes qu'aux cibles saines.

YouTube vidéo

Caractéristiques des équilibreurs de charge d'application

Équilibrage de la charge de la couche 7

En fonction des attributs de la demande, vous pouvez équilibrer la charge du trafic HTTP/HTTPS et gRPC vers des instances Amazon EC2, des conteneurs ECS, AWS Lambda, des serveurs tiers ou sur site.

Caractéristiques de sécurité

ALB prend en charge les mesures de protection contre la désynchronisation basées sur la bibliothèque HTTP desync-guardian. Cette capacité protège les applications des clients contre les vulnérabilités HTTP causées par Desync sans sacrifier la disponibilité ou la latence. Les clients peuvent également définir leur niveau de tolérance pour les requêtes douteuses en fonction de l'architecture de leurs applications.

Soutien aux avant-postes

Avant-postes AWS est une solution entièrement gérée qui étend l'infrastructure, les services et les outils AWS à presque tous les centres de données, espaces de colocation ou installations sur site pour une expérience hybride vraiment cohérente. Vous pouvez utiliser des équilibreurs de charge d'application avec AWS Outposts. Les clients peuvent déployer des ALB sur les types d'instance pris en charge, et l'ALB s'adaptera automatiquement à la capacité du rack pour répondre aux différents niveaux de charge de travail des applications sans nécessiter d'intervention manuelle.

Vous pouvez également configurer ALB pour qu'il reçoive des rappels/alertes afin de l'aider à gérer ses besoins en capacité d'équilibrage de charge. Les clients peuvent utiliser la même console AWS, CLILes utilisateurs ont accès à des outils et à des API pour provisionner et gérer les ALB sur les avant-postes qu'ils utilisent pour provisionner et gérer les ALB dans les régions AWS.

Terminaison HTTPS

Un Application Load Balancer (ALB) supporte la terminaison HTTPS entre les clients et l'équilibreur de charge. Cela signifie que la connexion entre votre client et l'ALB est HTTPS, mais que la connexion entre l'ALB et les serveurs d'application (EC2, ECS, etc.) est HTTP.

Comme la connexion entre l'ALB et les serveurs d'application() se trouve à l'intérieur de votre VPC, elle est protégée par défaut par des entités externes. Les ALB peuvent gérer Certificats SSL en utilisant AWS Certificate Manager pour les politiques de sécurité prédéfinies et AWS Identity and Access Management (IAM).

Support HTTP/2 et gRPC

HTTP/2 est une nouvelle forme de protocole de transfert d'hypertexte (HTTP) qui permet de transmettre de nombreuses requêtes sur la même connexion en utilisant une seule connexion multiplexée. Il fournit également des connexions SSL aux clients et compresse les données d'en-tête avant de les envoyer au format binaire.

Le trafic gRPC peut être acheminé et réparti en fonction de la charge sur l'ensemble du territoire de l'Union européenne. microservices ou entre les clients et les services compatibles gRPC à l'aide de l'équilibreur de charge d'application. Cela permet d'intégrer en douceur la gestion du trafic gRPC dans les architectures sans qu'il soit nécessaire de modifier l'infrastructure sous-jacente du côté des clients ou des services.

gRPC est le protocole de choix pour les communications inter-services dans les architectures microservices, et il utilise HTTP/2 pour la transmission. Il présente des caractéristiques telles que la sérialisation binaire efficace, la prise en charge d'une variété de langages, ainsi que les avantages inhérents à HTTP/2, tels que la réduction de l'empreinte réseau, la compression et le flux bidirectionnel, ce qui le rend supérieur aux protocoles hérités tels que REST.

Sessions collantes

Les sessions collantes permettent aux demandes d'un même client d'être acheminées vers la même cible à l'aide de cookies. Nous pouvons facilement mettre en place des sessions collantes en activant simplement les sessions collantes et les cookies dans les attributs de l'ALB. L'Application Load Balancer (ALB) prend en charge les cookies basés sur la durée et les cookies basés sur l'application.

Déterminer la durée pendant laquelle l'équilibreur de charge doit constamment envoyer la requête de l'utilisateur à la même cible est la clé de la gestion des sessions collantes. Les sessions collantes sont activées au niveau du groupe cible. Vous pouvez déployer une combinaison de sessions collantes basées sur la durée, de sessions collantes basées sur l'application et d'aucune session collante dans différents groupes cibles. 

Prise en charge native de l'IPv6

Le protocole Internet natif version 6 (IPv6) est pris en charge par les équilibreurs de charge d'application dans un système de gestion de la charge. VPC. Cela permet aux clients de se connecter à l'Application Load Balancer en utilisant IPv4 ou IPv6.

Suivi des demandes

Sur toutes les requêtes entrant dans l'équilibreur de charge, l'Application Load Balancer injecte un nouvel identifiant personnalisé "X-Amzn-Trace-Id" dans l'en-tête HTTP. Le traçage des requêtes vous permet de suivre la progression d'une requête au fur et à mesure qu'elle est envoyée à de nombreux services AWS grâce à son identifiant unique. Vous pouvez utiliser le traçage des requêtes pour trouver des problèmes de performance ou de goulot d'étranglement dans votre pile d'applications.

Redirections

L'Application Load Balancer (ALB) peut rediriger une requête entrante d'une URL vers une autre. Par exemple, vous pouvez rediriger des requêtes HTTP vers des requêtes HTTPS, ce qui vous permet d'atteindre votre objectif de conformité en matière de navigation sécurisée tout en améliorant le classement de votre site dans les moteurs de recherche et le score SSL/TLS. Les redirections peuvent également diriger les utilisateurs vers un site web différent, par exemple une ancienne version d'une application vers une version plus récente.

YouTube vidéo

Réponse fixe

L'équilibreur de charge d'applications peut gérer les demandes des clients que vos applications servent. Sans transmettre la requête à l'application, vous pouvez répondre aux requêtes entrantes avec des codes de réponse d'erreur HTTP et des messages d'erreur personnalisés directement à partir de l'équilibreur de charge.

Support des WebSockets

Les équilibreurs de charge d'application prennent en charge les WebSockets. Les WebSockets permettent à un serveur d'envoyer des messages en temps réel aux utilisateurs finaux sans qu'ils aient à demander (ou à interroger) une mise à jour du serveur. Dans le cas d'un Connexion TCPLe protocole WebSockets permet des canaux de communication bidirectionnels entre un client et un serveur.

Indication du nom du serveur (SNI)

SNI (Server Name Indication) est une extension du protocole TLS dans laquelle un client spécifie le nom d'hôte auquel se connecter dans la poignée de main TLS. L'équilibreur de charge peut présenter de nombreux certificats via un seul auditeur sécurisé, ce qui lui permet de prendre en charge plusieurs sites web sécurisés avec un seul auditeur sécurisé. 

Avec SNI, les répartiteurs de charge d'application utilisent un processus intelligent de sélection des certificats pour faire correspondre le nom d'hôte de la demande au certificat SSL correspondant. Si le nom d'hôte d'un client correspond à plusieurs certificats, l'équilibreur de charge choisit le certificat optimal en fonction de plusieurs paramètres, dont les capacités du client.

Les adresses IP comme cibles

En utilisant les adresses IP des backends des applications comme cibles, vous pouvez utiliser les ALB pour équilibrer la charge de n'importe quelle application hébergée sur AWS, sur site, ou même chez d'autres fournisseurs de cloud. Cela permet d'équilibrer la charge vers n'importe quelle adresse IP et interface d'un backend d'application.

Adresses IP peuvent également être utilisés comme cibles pour l'équilibrage de charge des applications hébergées sur site (via Direct Connect ou VPN), des VPC en peering et EC2-Classic (à l'aide de ClassicLink). Il est possible de migrer vers le cloud, d'effectuer un burst vers le cloud ou de basculer vers le cloud grâce à la possibilité d'équilibrer la charge entre les ressources sur site et celles d'AWS.

Fonctions lambda en tant que cibles

Les utilisateurs peuvent accéder aux apps sans serveur depuis n'importe quel client HTTP, y compris les navigateurs web, grâce à la prise en charge par les équilibreurs de charge d'applications de l'exécution des fonctions Lambda pour délivrer les requêtes HTTP(S). Vous pouvez utiliser la prise en charge des règles de routage basées sur le contenu pour diriger les demandes vers des fonctions Lambda distinctes en enregistrant les fonctions Lambda en tant que cibles de l'équilibreur de charge.

Un équilibreur de charge d'application peut être utilisé comme point de terminaison HTTP standard pour les apps qui exploitent les serveurs et l'informatique sans serveur. Pour développer des applications, vous pouvez utiliser des fonctions Lambda pour créer un site web entier ou les combiner avec des instances EC2, des conteneurs et des serveurs sur site.

Routage basé sur le contenu

Supposons que votre application soit composée de nombreux services indépendants. Dans ce cas, un équilibreur de charge applicatif peut acheminer une demande vers un service en fonction du contenu de la demande, comme le champ Host, l'URL du chemin, l'en-tête HTTP, la méthode HTTP, la chaîne de requête ou l'adresse IP source.

Routage basé sur l'hôte : En utilisant le champ Host de l'en-tête HTTP, l'ALB peut acheminer une requête client vers plusieurs domaines à partir du même équilibreur de charge.

Routage basé sur le chemin : Le chemin URL de l'en-tête HTTP peut être utilisé pour acheminer la demande d'un client.

YouTube vidéo

Routage basé sur l'en-tête HTTP : Toute valeur d'en-tête HTTP standard ou personnalisée peut être utilisée pour acheminer une requête client.

Routage basé sur la méthode HTTP : Toute méthode HTTP standard ou personnalisée peut être utilisée pour rediriger la demande d'un client.

Routage basé sur les paramètres de la chaîne de requête : Une demande de client peut être acheminée en fonction de la chaîne de requête ou des paramètres.

Adresse IP source Routage basé sur le CIDR : Une demande de client peut être acheminée en fonction de l'adresse IP source CIDR d'où elle provient.

YouTube vidéo

Prise en charge des applications conteneurisées

Application Load Balancer améliore la prise en charge des conteneurs en répartissant la charge sur plusieurs ports d'une même instance Amazon EC2 (mappage dynamique des ports). Dans la définition de la tâche ECS, vous pouvez spécifier un port dynamique, ce qui donne au conteneur un port inutilisé lorsqu'il est planifié sur l'instance EC2. Ce port est utilisé par le planificateur ECS pour ajouter la tâche à l'équilibreur de charge.

https://www.youtube.com/watch?v=Mascg6g6DGk

ALB avec Web Application Firewall

Grâce à AWS WAF, vous pouvez désormais protéger vos applications web sur vos Application Load Balancers. AWS WAF protège vos applications web contre les exploits typiques du web qui peuvent causer des temps d'arrêt des applications, compromettre la sécurité ou consommer des ressources excessives.

Mode de démarrage lent avec algorithme d'équilibrage de la charge

L'Application Load Balancer (ALB) prend en charge un algorithme d'équilibrage de charge de type round-robin. En outre, le mécanisme round-robin de l'Application Load Balancer comprend un mode de démarrage différé qui vous permet d'ajouter de nouvelles cibles sans les surcharger de demandes. L'option de démarrage lent permet aux cibles de s'échauffer avant de recevoir leur juste part de requêtes pendant une période de montée en puissance spécifiée. Le démarrage lent est utile pour les applications qui reposent sur le cache et qui ont besoin d'une période d'échauffement avant de pouvoir réagir au mieux aux requêtes.

Authentification de l'utilisateur

Vous pouvez utiliser l'Application Load Balancer pour décharger le mécanisme d'authentification de vos applications. Lorsque les utilisateurs accèdent aux applications en nuage, l'Application Load Balancer les authentifie. Les utilisateurs finaux peuvent s'authentifier via des fournisseurs d'identité sociale tels que Google, Facebook et Amazon, ainsi que des fournisseurs d'identité d'entreprise tels que Microsoft Active Directory via SAML ou tout autre fournisseur d'identité compatible avec OpenID Connect, grâce à l'intégration transparente d'Application Load Balancer avec Amazon Cognito.

Application Load Balancer peut également vérifier les utilisateurs de l'entreprise en se connectant directement à votre fournisseur d'identité si vous disposez déjà d'une solution IdP sur mesure compatible avec OpenID Connect.

Avantages du passage d'un équilibreur de charge classique (CLB) à un équilibreur de charge d'application (ALB)

Les équilibreurs de charge classiques ont été le premier type d'équilibreurs de charge d'AWS. Bien que puissants, les équilibreurs de charge classiques deviennent peu à peu obsolètes avec l'introduction des ALB et des NLB. De nombreuses fonctionnalités désormais prises en charge par les versions plus récentes des équilibreurs de charge ne sont pas présentes dans l'équilibreur de charge classique.

  • Prise en charge des pathologies : Vous pouvez configurer votre listener avec des règles qui transfèrent les requêtes en fonction de l'URL contenue dans la requête. Cela vous permet de décomposer votre application en services plus petits (microservices) et d'acheminer les demandes vers le service approprié en fonction du contenu de l'URL.
  • Soutien aux conditions d'accueil : Vous pouvez configurer votre listener avec des règles qui transfèrent les requêtes en fonction du champ host de l'en-tête HTTP. Cela vous permet d'acheminer des requêtes vers de nombreux domaines à l'aide d'un seul équilibreur de charge.
  • Le routage est pris en charge sur la base d'informations de requête telles que les conditions et méthodes de l'en-tête HTTP, les paramètres de la requête et les adresses IP source.
  • Vous pouvez envoyer des demandes de routage à de nombreuses applications sur un seul serveur EC2.
  • Une instance ou une adresse IP peut être enregistrée auprès de plusieurs groupes cibles sur un port distinct.
  • Vous pouvez rediriger les demandes d'une URL vers une autre.
  • Il est possible de renvoyer une réponse HTTP personnalisée.
  • Prise en charge de l'enregistrement des cibles pour l'équilibreur de charge par adresse IP, y compris les cibles en dehors du VPC.
  • Les fonctions lambda peuvent être enregistrées en tant que cibles.
  • Avant d'acheminer les requêtes, l'équilibreur de charge peut authentifier les utilisateurs de vos applications à l'aide de leurs identités professionnelles ou sociales.
  • Les applications conteneurisées sont prises en charge. Lors de la planification d'une tâche, Amazon Elastic Container Service (Amazon ECS) peut choisir un port inutilisé et l'utiliser pour enregistrer la tâche auprès d'un groupe cible. Cela vous permet de tirer le meilleur parti de vos clusters.
  • Comme les bilans de santé sont définis au niveau du groupe cible et que les CloudWatch sont publiées au niveau du groupe cible, il est possible de surveiller l'état de chaque service individuellement. Lorsque vous ajoutez un groupe cible à un groupe de mise à l'échelle automatique, vous pouvez mettre à l'échelle dynamiquement chaque service en fonction de la demande.
  • Des informations supplémentaires sont enregistrées sous forme comprimée dans les journaux d'accès.

Dernières paroles

Les équilibreurs de charge applicatifs sont des équilibreurs de charge de nouvelle génération, élastiques, évolutifs et dotés de nombreuses fonctionnalités, en particulier pour les besoins des applications web. Il se peut que vous deviez utiliser des équilibreurs de charge classiques si vous avez des applications anciennes hébergées sur le serveur EC2 Réseau classique, mais pour toutes les charges de travail de la nouvelle génération, les ALB seront un choix évident.

  • Naman Yash
    Auteur
Marqué comme
Merci à nos sponsors
Autres lectures sur l'informatique dématérialisée
Alimentez votre entreprise
Quelques outils et services pour aider votre entreprise à se développer.
  • Invicti
    Invicti utilise le Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Brightdata
    Web scraping, proxy résidentiel, proxy manager, web unlocker, search engine crawler, et tout ce dont vous avez besoin pour collecter des données web.
    Essayez Brightdata
  • Lundi.com
    Monday.com est un système d'exploitation tout-en-un qui vous aide à gérer vos projets, vos tâches, votre travail, vos ventes, votre CRM, vos opérations, vos flux de travail et bien plus encore.
    Essayez le lundi
  • Intrus
    Intruder est un scanner de vulnérabilité en ligne qui détecte les faiblesses de votre infrastructure en matière de cybersécurité, afin d'éviter des violations de données coûteuses.
    Essayer l'intrus