通过自定义域名 + SSL 的方式访问 Amazon MQ for RabbitMQ
引言:
一般为了解决应用解耦,异步处理,流量削峰等问题,实现高性能,高可用,可伸缩和最终一致性的架构;我们会引入消息队列中间件来完善架构设计。
对于需要消息传递协议的应用程序,包括 JMS、NMS、AMQP、STOMP、MQTT 和 WebSocket,Amazon 提供了 Amazon MQ。这是一个针对 Apache ActiveMQ 和 RabbitMQ 的托管消息代理服务,可以更轻松地在云中设置和操作消息代理。
Amazon MQ 提供了两个托管代理部署连接选项:公共代理和私有代理。公共代理接收互联网可访问的 IP 地址,而私人代理仅从其专有网络子网中的相应 CIDR 范围接收私有 IP 地址。在某些情况下,出于安全目的,客户可能更愿意将代理放置在私有子网中,但也允许通过持久公共端点(例如其公司域的子域,如 “mq”)访问代理。
这里介绍了如何在私有 VPC 中,通过 Route53、NLB、ACM 相结合,通过 SSL 的方式访问自定义域名指向的 RabbitMQ 代理。
亚马逊云科技开发者社区为开发者们提供全球的开发技术资源。这里有技术文档、开发案例、技术专栏、培训视频、活动与竞赛等。帮助中国开发者对接世界最前沿技术,观点,和项目,并将中国优秀开发者或技术推荐给全球云社区。如果你还没有关注/收藏,看到这里请一定不要匆匆划过,点这里让它成为你的技术宝库!
部署在 EC2/ECS/EKS 中的客户端服务尝试使用自定义域名连接 RabbitMQ Broker.
通过 Route53 将自定义域名解析到 NLB 的 DNS domain。
客户端使用 Amazon 证书管理器(ACM)提供的安全套接字层(SSL)证书创建到 NLB 的传输层安全(HTTPS/AMQPS)连接。
NLB 从目标组中选择一个健康的端点,并创建一个单独的 SSL 连接。这在客户端和代理之间提供了安全的端到端 SSL 加密消息传递。
一、前提
要构建此架构,首先您需要一个 VPC,每个可用区域一个 Private Subnet,以及一个用于堡垒主机的 Public subnet(如果需要)。
本演示 VPC 使用 10.1.0.0/16 CIDR 范围。此外,您必须为您的 MQ Broker 创建自定义安全组。您必须设置此安全组,以允许从网络负载平衡器到 RabbitMQ Broker 的流量。安全组需要开放 5671(AMQP 端口)和 443(web 控制台端口)的流量。
二、创建 AmazonMQ Broker
设置网络子网后,添加 Amazon MQ 代理:
在 Amazon MQ 主页上选择创建代理。
切换 RabbitMQ 旁边的单选按钮,然后选择 Next。
选择单实例代理(用于开发环境)或集群部署(用于生产环境)的部署模式。
在配置设置中,指定代理名称和实例类型,以及管理员用户的用户名和密码。
确认代理引擎版本为 9.16 或更高版本,并将访问类型设置为私有访问。
选择您的 VPC 和子网,并选择刚创建的安全组。
按需选择版本升级及维护窗口,选择下一步并创建 Broker。
三、获取 RabbitMQ Broker 的 IP 地址
在配置 NLB 的目标组之前,必须获取 Broker 的 IP 地址。Amazon MQ 在每个子网中创建一个 VPC 端点,其静态地址在删除代理之前不会更改。
导航到 Broker 的详细信息页面并滚动到连接面板。
查找 EndPoint 的完整域名,它的格式类似于 broker-id.mq.region.amazonaws.com
在本地客户端上打开命令终端。
使用 host(Linux)或 nslookup(Windows)命令检索 “A” 记录值。
为以后的 NLB 配置步骤记录这些值。
四、配置负载平衡器的目标组
下一步配置负载平衡器的目标组。您使用代理的私有 IP 地址作为 NLB 的目标。创建一个目标组,将目标类型选择为 IP,并确保为每个所需的端口以及您的代理所在的专有网络选择 TLS 协议。
五、创建网络负载平衡器
创建一个网络负载平衡器。端口 5671(AMQP)上有 TLS 侦听器,将流量路由到代理的 VPC 和 Subnet。您选择创建的目标组,为 NLB 和代理之间的连接选择 TLS。为了允许客户端安全地连接到 NLB,请为在 Route53 中注册的子域选择一个 ACM 证书(例如“mq.yourdomain.com”)。
要了解 ACM 证书设置,请在此处阅读有关该过程的更多信息。确保 ACM 证书在与 NLB 相同的区域中设置,或者该证书未显示在下拉菜单中。
六、配置 Route53
最后,在 Route53 配置为在您选择的子域为 NLB 提供流量服务:
转到 Route53 托管区域并创建新的子域记录集,例如 mq.test.youdomain.com,它与您先前创建的 ACM 证书相匹配。
在“类型”字段中,选择 “A–IPv4 地址”,然后为别名选择“是”。这允许您选择 NLB 作为别名目标。
从 alias target 菜单中选择刚刚创建的 NLB 并保存记录集。
现在,调用方可以在 RabbitMQ 连接字符串中使用自定义域名。此功能改善了开发人员的体验,并在重建集群时降低了操作成本。由于您在 NLB 的目标组中添加了多个 VPC 端点(每个子网一个),因此该解决方案具有多 AZ 冗余。
七、使用 RabbitMQ 客户端进程进行测试
整个过程可以使用任何 RabbitMQ 客户端进程进行测试。一种方法是启动 Docker 官方镜像并与本地客户端连接。服务文档还提供了用于验证、发布和订阅 RabbitMQ 通道的示例代码。
要登录到代理的 RabbitMQ web 控制台,有三个选项。根据安全组规则,仅允许来自专有网络内部的流量流向代理:
使用从公司网络到专有网络的 VPN 连接。许多客户使用此选项,但对于快速测试,有一种更简单、更具成本效益的方法。
通过路由 53 子域连接到代理的 web 控制台,这需要在现有 NLB 上创建单独的 web 控制台端口侦听器(443),并为代理创建单独的 TLS 目标组。
使用 bastion 主机将流量代理到 web 控制台。
八、总结
在本文中,您将在私有子网中构建一个高可用的 Amazon MQ Broker。您可以通过将代理置于高度用可扩展的 NLB 之后来分层管理。并且通过 Route53 解析到 NLB 的方式,实现采用自定义域名 +SSL 的方式访问 Amazon MQ Broker。
本篇作者
孙权
Amazon ProServe Senior DevOps 顾问,致力于解决企业客户 DevOps 咨询和实施,在云原生 /DevOps/ 微服务框架/性能优化和加速研发效能领域有深入研究的热情
曹赫洋
Amazon 专业服务团队 DevOps 顾问。主要负责 DevSecOps 咨询和技术实施。在 DevSecOps 加速企业数字化转型方面领域拥有多年经验,对公有云、DevSecOps、基于云原生的微服务架构、敏捷加速研发效能等有深入的研究和热情。
评论