Häufig gestellte Fragen - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Häufig gestellte Fragen

Benötige ich in einer Multi-AZ-Bereitstellung einen Load Balancer, um den Internetverkehr durch eine Firewall zu leiten?

AWS Network Firewall ist für eingehenden und ausgehenden Datenverkehr transparent und benötigt keinen eigenen Load Balancer. Ein Load Balancer ist nur für die Anwendung erforderlich (wie bei einer standardmäßigen Multi-AZ-Bereitstellung). In der Perimeterzonenarchitektur dieses Handbuchs wird die Network Firewall über Routing-Tabellen und die entsprechenden Netzwerkschnittstellen im öffentlichen Subnetz eingefügt.

Wenn sich der Application Load Balancer nicht in einem öffentlichen Subnetz befindet (das zu einem Internet-Gateway weitergeleitet wird), handelt es sich dann um einen internen Application Load Balancer?

Der Application Load Balancer ist kein interner Application Load Balancer. Der Application Load Balancer fährt mit dem externen, mit dem Internet verbundenen Subnetz fort, auch wenn das Subnetz nicht direkt mit dem Internet verbunden ist. Das Subnetz ist transparent für das Internet verfügbar, da das Routing vom Subnetz des Endpunkts zum öffentlichen Subnetz auf der Netzwerkschnittstelle der Network Firewall basiert.

Benötigt die Netzwerk-Firewall ein eigenes Sicherheitssubnetz?

Ja, die Netzwerk-Firewall benötigt ein eigenes Sicherheitssubnetz. Das Sicherheitssubnetz (öffentlich) ist erforderlich, um sicherzustellen, dass das Routing des Datenverkehrs vom und zum Application Load Balancer über die Routing-Tabellen gesteuert werden kann.

Gilt die Zielarchitektur sowohl für Eingangs- als auch für Ausgangsverkehr-Firewalling?

Gilt die Zielarchitektur sowohl für Eingangs- als auch für Ausgangsverkehr-Firewalling gültig. Wenn eine Verbindung von der Anwendung nach außerhalb der VPC initiiert wird, müssen Sie dem Subnetz des Endpunkts ein NAT-Gateway hinzufügen. Außerdem müssen Sie den Datenverkehr mithilfe einer Routentabelle vom Subnetz der Anwendung an das NAT-Gateway weiterleiten (wie in der Routentabellen-App im Diagramm aus dem Abschnitt Perimeterzonenarchitektur basierend auf Network Firewall dieses Handbuchs dargestellt). Dann sind keine weiteren Änderungen erforderlich, da der gesamte ausgehende Datenverkehr weiterhin die Netzwerk-Firewall durchläuft.