Como adicionar um Load Balancer em um Fluxo Inverso de ZTNA na Digibee

Aprenda a configurar um Load Balancer em um Fluxo Inverso de ZTNA na Digibee Integration Platform.

Visão geral

No Fluxo Inverso de ZTNA (Zero Trust Network Access), a comunicação é iniciada de fora da Plataforma em direção aos pipelines internos da Digibee. O tráfego percorre o seguinte caminho:

Endpoint externo → Load Balancer → Edge Router(s) → Digibee Integration Platform

Sem um Load Balancer, todo o tráfego é direcionado a um único Edge Router, o que cria um ponto de falha: caso o Edge Router fique indisponível, a comunicação é interrompida.

Com o Load Balancer na sua infraestrutura, o tráfego é distribuído entre dois ou mais Edge Routers, garantindo alta disponibilidade e continuidade das integrações mesmo em caso de falha de uma instância.

O Load Balancer descrito neste guia é um componente da sua própria infraestrutura de nuvem (AWS, Azure, GCP ou on-premise), não um componente nativo da Digibee Integration Platform. Você é responsável por provisioná-lo e mantê-lo.

O que você vai precisar

Antes de começar, certifique-se de ter:

Permissão de Connectivity Manager no seu realm da Digibee Integration Platform.
O Fluxo Inverso de ZTNA ativado no seu realm. Se ainda não foi ativado, entre em contato com o time de Suporte da Digibee e forneça os detalhes do seu Edge Router:
- O IP ou DNS do Edge Router que você configurou em sua infraestrutura.
- A porta para enviar o tráfego.
Pelo menos dois Edge Routers registrados e ativos no mesmo ambiente (Teste ou Produção). Para saber como criar um Edge Router, veja como adicionar uma nova conexão de Edge Router.
Um Network Mapping de Fluxo Inverso já configurado. Se você ainda não criou um, veja como criar um Network Mapping Inverso.
Acesso ao console da sua plataforma de nuvem (AWS, Azure, GCP) ou à sua infraestrutura on-premise para provisionar o Load Balancer.

Passo a passo

Prepare os Edge Routers para receber o tráfego do Load Balancer

O Load Balancer realiza health checks periódicos nos Edge Routers para saber quais instâncias estão aptas a receber tráfego. Para que essas verificações funcionem, cada Edge Router precisa ter a porta de health check acessível a partir do Load Balancer.

Se a regra de firewall não for configurada corretamente, o Load Balancer marcará os Edge Routers como não saudáveis e não distribuirá tráfego para eles, mesmo que estejam funcionando.

Por padrão, os Edge Routers expõem o endpoint de health check na porta TCP 8081 no caminho /health-checks.

Em cada instância de Edge Router, adicione uma regra de firewall para permitir as requisições de health check originadas do Load Balancer:

sudo ufw allow from <IP-ou-CIDR-do-Load-Balancer> proto tcp to any port 8081

Substitua <IP-ou-CIDR-do-Load-Balancer> pelo endereço IP ou pelo bloco CIDR da sua infraestrutura de nuvem. Consulte a documentação do seu respectivo provedor para obter os intervalos de IP usados pelos health checks.

Crie o Load Balancer na sua infraestrutura de nuvem

Crie um Network Load Balancer no console da sua plataforma de nuvem e configure-o para distribuir tráfego entre os Edge Routers.

No console da AWS, acesse EC2, em seguida Load Balancers, e clique em Create load balancer.
Selecione o tipo Network Load Balancer.
Preencha as configurações básicas: nome, scheme (interno ou voltado à internet) e tipo de endereço IP (apenas IPv4 é suportado).
Acesse EC2, em seguida Target Groups, e crie um Target Group com as seguintes configurações:
- Protocol: TCP
- Port: Porta configurada no seu Network Mapping de Fluxo Inverso
- Health check protocol: HTTPS
- Health check port: 8081
- Health check path: /health-checks
Registre os dois (ou mais) Edge Routers como alvos do Target Group.
Associe o Target Group ao Load Balancer e conclua a criação.

No portal do Azure, pesquise por Load Balancer e clique em Create Load Balancer.
Selecione as opções: Standard, Internal e Regional.
Configure o Frontend IP com o endereço privado que receberá o tráfego.
Configure o Backend Pool adicionando os dois (ou mais) Edge Routers como instâncias de backend.
Configure o Health Probe:
- Protocol: TCP
- Port: 8081
Configure a Load Balancing Rule para encaminhar o tráfego da porta de entrada para os Edge Routers.
Adicione a seguinte regra de firewall em cada Edge Router para permitir os health checks do Azure:

sudo ufw allow in to any port 8081 proto tcp from 168.63.129.16

No console do GCP, acesse Compute Engine e depois clique em Instance Groups. Crie um Unmanaged Instance Group para cada zona de disponibilidade que conterá Edge Routers.
Adicione os Edge Routers ao Instance Group correspondente.
Acesse Compute Engine, em seguida Health Checks, e crie um health check com as seguintes configurações:
- Protocol: TCP
- Port: 8081
Crie um Internal TCP/UDP Load Balancer (selecione Only between my VMs e Single region only).
Associe o Instance Group como backend e aplique o health check criado.
Configure o Frontend com o endereço IP e a porta que receberão o tráfego externo.
Permita os health checks do GCP em cada Edge Router:

sudo ufw allow from 130.211.0.0/22 proto tcp to any port 8081
sudo ufw allow from 35.191.0.0/16 proto tcp to any port 8081

Após a criação, anote o endereço IP ou DNS do Load Balancer. Você vai precisar dessas informações para atualizar o Network Mapping Inverso na Digibee.

Atualize o Network Mapping Inverso com o endereço do Load Balancer

Com o Load Balancer provisionado, atualize o Network Mapping Inverso na Digibee para que o tráfego seja direcionado ao Load Balancer ao invés de a um Edge Router individual.

Na página inicial da Digibee Integration Platform, clique em Conectividade no canto superior direito.
Clique na aba Network Mapping.
Localize o Network Mapping de Fluxo Inverso que você quer atualizar. Os Fluxos Inversos são identificados por um ícone de direção reversa (⏮️).
Clique no ícone de edição (lápis) ao lado do Network Mapping.
No campo Host, substitua o endereço do Edge Router individual pelo endereço IP ou DNS do Load Balancer criado no passo anterior.
Confirme que a Porta está alinhada com a configuração do Load Balancer.
Clique em Salvar.

Após salvar, o tráfego que chegar ao Fluxo Inverso passará pelo Load Balancer, que o distribuirá entre os Edge Routers disponíveis. Se um Edge Router falhar no health check, o Load Balancer redirecionará automaticamente o tráfego para os demais.

Valide a configuração

Envie uma requisição de teste ao endpoint do Fluxo Inverso.
Verifique no console da sua plataforma de nuvem se o Load Balancer está distribuindo o tráfego entre os Edge Routers e se todos os alvos estão com status Healthy.
Para simular a falha de um Edge Router, pause uma das instâncias e confirme que as requisições continuam sendo processadas pelos demais.

O que fazer se os Edge Routers aparecem como Unhealthy no Load Balancer?

Se os Edge Routers aparecem como não saudáveis no Target Group ou Backend Pool, verifique os seguintes pontos:

Confirme se a porta 8081 está liberada no firewall de cada Edge Router para os IPs de health check do seu provedor de nuvem.
Confirme se o health check está configurado com o protocolo correto (HTTPS para AWS, TCP para Azure e GCP) e o caminho /health-checks onde aplicável.
Verifique se o Edge Router está em execução e registrado corretamente na Digibee Integration Platform. Você pode confirmar o status na aba Edge Router da página de Conectividade.

Próximos passos

Agora que o Load Balancer está distribuindo o tráfego entre os seus Edge Routers, veja os requisitos para usar ZTNA para entender as recomendações de dimensionamento das VMs de Edge Router e garantir que a sua infraestrutura está preparada para suportar o volume de tráfego esperado.

Tópicos relacionados

Como adicionar novas conexões de Edge Router: Aprenda a registrar novos Edge Routers na Digibee Integration Platform.
Grupos de ZTNA: Saiba como organizar seus Edge Routers em grupos para facilitar o gerenciamento de rotas.

AnteriorFluxo Inverso (Inverse Flow) de ZTNA PróximoGrupos de ZTNA

Atualizado há 20 dias

Isto foi útil?