### **引言:**
一般为了解决应用解耦,异步处理,流量削峰等问题,实现高性能,高可用,可伸缩和最终一致性的架构;我们会引入消息队列中间件来完善架构设计。
对于需要消息传递协议的应用程序,包括 JMS、NMS、AMQP、STOMP、MQTT 和 WebSocket,Amazon 提供了 [Amazon MQ](https://aws.amazon.com/cn/amazon-mq/?trk=cndc-detail)。这是一个针对 Apache ActiveMQ 和 RabbitMQ 的托管消息代理服务,可以更轻松地在云中设置和操作消息代理。
[Amazon MQ](https://aws.amazon.com/cn/amazon-mq/?trk=cndc-detail) 提供了两个托管代理部署连接选项:公共代理和私有代理。公共代理接收互联网可访问的 IP 地址,而私人代理仅从其专有网络子网中的相应 CIDR 范围接收私有 IP 地址。在某些情况下,出于安全目的,客户可能更愿意将代理放置在私有子网中,但也允许通过持久公共端点(例如其公司域的子域,如 “mq”)访问代理。
这里介绍了如何在私有 VPC 中,通过 Route53、NLB、ACM 相结合,通过 SSL 的方式访问自定义域名指向的 RabbitMQ 代理。
![image.png](https://dev-media.amazoncloud.cn/a58d461801b4481fba3b7c8623519cb8_image.png)
1. 部署在 EC2/ECS/EKS 中的客户端服务尝试使用自定义域名连接 RabbitMQ Broker.
2. 通过 Route53 将自定义域名解析到 NLB 的 DNS domain。
3. 客户端使用 Amazon 证书管理器(ACM)提供的安全套接字层(SSL)证书创建到 NLB 的传输层安全(HTTPS/AMQPS)连接。
4. NLB 从目标组中选择一个健康的端点,并创建一个单独的 SSL 连接。这在客户端和代理之间提供了安全的端到端 SSL 加密消息传递。
### **一、前提**
要构建此架构,首先您需要一个 VPC,每个可用区域一个 Private Subnet,以及一个用于堡垒主机的 Public subnet(如果需要)。
本演示 VPC 使用 10.1.0.0/16 CIDR 范围。此外,您必须为您的 MQ Broker 创建自定义安全组。您必须设置此安全组,以允许从网络负载平衡器到 RabbitMQ Broker 的流量。安全组需要开放 5671(AMQP端口)和443(web控制台端口)的流量。
![image.png](https://dev-media.amazoncloud.cn/26ae369c582a43ecbbcac13b4099db2b_image.png)
### **二、创建 AmazonMQ Broker**
设置网络子网后,添加 [Amazon MQ](https://aws.amazon.com/cn/amazon-mq/?trk=cndc-detail) 代理:
1. 在 [Amazon MQ](https://aws.amazon.com/cn/amazon-mq/?trk=cndc-detail) 主页上选择创建代理。
2. 切换 RabbitMQ 旁边的单选按钮,然后选择 Next。
3. 选择单实例代理(用于开发环境)或集群部署(用于生产环境)的部署模式。
4. 在配置设置中,指定代理名称和实例类型,以及管理员用户的用户名和密码。
![image.png](https://dev-media.amazoncloud.cn/3320fed4edee40768166b00bf73d1245_image.png)
5. 确认代理引擎版本为9.16或更高版本,并将访问类型设置为私有访问。
6. 选择您的 VPC 和子网,并选择刚创建的安全组。
7. 按需选择版本升级及维护窗口,选择下一步并创建 Broker。
![image.png](https://dev-media.amazoncloud.cn/bc16ccaeb29542209949056cbb58a491_image.png)
### **三、获取 RabbitMQ Broker 的 IP 地址**
在配置 NLB 的目标组之前,必须获取 Broker 的 IP 地址。[Amazon MQ](https://aws.amazon.com/cn/amazon-mq/?trk=cndc-detail) 在每个子网中创建一个 VPC 端点,其静态地址在删除代理之前不会更改。
1. 导航到 Broker 的详细信息页面并滚动到连接面板。
2. 查找 EndPoint 的完整域名,它的格式类似于 broker-id.mq.region.amazonaws.com
3. 在本地客户端上打开命令终端。
4. 使用 host(Linux)或 nslookup(Windows)命令检索 “A” 记录值。
5. 为以后的 NLB 配置步骤记录这些值。
![image.png](https://dev-media.amazoncloud.cn/a4c96b3ddac24c799aa10d7750ed4205_image.png)
### **四、配置负载平衡器的目标组**
下一步配置负载平衡器的目标组。您使用代理的私有 IP 地址作为 NLB 的目标。创建一个目标组,将目标类型选择为 IP,并确保为每个所需的端口以及您的代理所在的专有网络选择 TLS 协议。
![image.png](https://dev-media.amazoncloud.cn/4da56f5ab3b0457db311699427c011d2_image.png)
![image.png](https://dev-media.amazoncloud.cn/39eb33784e2f47598c4bd54dcece4033_image.png)
### **五、创建网络负载平衡器**
创建一个网络负载平衡器。端口5671(AMQP)上有 TLS 侦听器,将流量路由到代理的 VPC 和 Subnet。您选择创建的目标组,为 NLB 和代理之间的连接选择 TLS。为了允许客户端安全地连接到 NLB,请为在 Route53 中注册的子域选择一个 ACM 证书(例如“mq.yourdomain.com”)。
要了解 ACM 证书设置,[请在此处阅读有关该过程的更多信息](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html)。确保 ACM 证书在与 NLB 相同的区域中设置,或者该证书未显示在下拉菜单中。
![image.png](https://dev-media.amazoncloud.cn/8b25748252e345488094b52e01ee7cde_image.png)
![image.png](https://dev-media.amazoncloud.cn/028796a0efdb4d07b08f4c1c757df3ba_image.png)
![image.png](https://dev-media.amazoncloud.cn/bcf31d4275d049378d245097eade7fd4_image.png)
### **六、配置 Route53**
最后,在 Route53 配置为在您选择的子域为 NLB 提供流量服务:
转到 Route53 托管区域并创建新的子域记录集,例如 mq.test.youdomain.com,它与您先前创建的 ACM 证书相匹配。
在“类型”字段中,选择 “A–IPv4 地址”,然后为别名选择“是”。这允许您选择 NLB 作为别名目标。
从 alias target 菜单中选择刚刚创建的 NLB 并保存记录集。
![image.png](https://dev-media.amazoncloud.cn/33b695622df14275babdd71b84239105_image.png)
现在,调用方可以在 RabbitMQ 连接字符串中使用自定义域名。此功能改善了开发人员的体验,并在重建集群时降低了操作成本。由于您在 NLB 的目标组中添加了多个 VPC 端点(每个子网一个),因此该解决方案具有多 AZ 冗余。
### **七、使用 RabbitMQ 客户端进程进行测试**
整个过程可以使用任何 RabbitMQ 客户端进程进行测试。一种方法是启动 Docker 官方镜像并与本地客户端连接。服务文档还提供了用于验证、发布和订阅 RabbitMQ 通道的示例代码。
要登录到代理的 RabbitMQ web 控制台,有三个选项。根据安全组规则,仅允许来自专有网络内部的流量流向代理:
1. 使用从公司网络到专有网络的VPN连接。许多客户使用此选项,但对于快速测试,有一种更简单、更具成本效益的方法。
2. 通过路由 53 子域连接到代理的 web 控制台,这需要在现有 NLB 上创建单独的 web 控制台端口侦听器(443),并为代理创建单独的 TLS 目标组。
3. 使用 bastion 主机将流量代理到 web 控制台。
![image.png](https://dev-media.amazoncloud.cn/0707366f540f4d4684083c51fcd7fa48_image.png)
### **八、总结**
在本文中,您将在私有子网中构建一个高可用的 [Amazon MQ](https://aws.amazon.com/cn/amazon-mq/?trk=cndc-detail) Broker。您可以通过将代理置于高度用可扩展的 NLB 之后来分层管理。并且通过 Route53 解析到 NLB 的方式,实现采用自定义域名 +SSL 的方式访问 [Amazon MQ](https://aws.amazon.com/cn/amazon-mq/?trk=cndc-detail) Broker。
### **本篇作者**
![image.png](https://dev-media.amazoncloud.cn/2951e5bb63164fe09522abae923f1fd4_image.png)
#### **孙权**
Amazon ProServe Senior DevOps 顾问,致力于解决企业客户 DevOps 咨询和实施,在云原生 /DevOps/ 微服务框架/性能优化和加速研发效能领域有深入研究的热情
![image.png](https://dev-media.amazoncloud.cn/2f2adeee95c0476a8938dec07e116aab_image.png)
#### **曹赫洋**
Amazon 专业服务团队 DevOps 顾问。主要负责 DevSecOps 咨询和技术实施。在 DevSecOps 加速企业数字化转型方面领域拥有多年经验,对公有云、DevSecOps、基于云原生的微服务架构、敏捷加速研发效能等有深入的研究和热情。