Greifen Sie auf virtuelle Geräte zu über AWS PrivateLink - Amazon Virtual Private Cloud
ÜbersichtIP-AdresstypenRouting

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Greifen Sie auf virtuelle Geräte zu über AWS PrivateLink

Sie können einen Gateway Load Balancer verwenden, um den Datenverkehr an eine Flotte virtueller Netzwerkgeräte zu verteilen. Die Appliances können für Sicherheitsinspektionen, Compliance, Richtlinienkontrollen und andere Netzwerkdienste verwendet werden. Sie geben den Gateway Load Balancer an, wenn Sie einen VPC-Endpunkt-Service erstellen. Sonstige AWS -Prinzipale greifen auf den Endpunkt-Service zu, indem sie einen Gateway-Load-Balancer-Endpunkt.

Preisgestaltung

Ihnen wird jede Stunde in Rechnung gestellt, in der Ihr Gateway Load Balancer-Endpunkt in jeder Availability Zone bereitgestellt wird. Ihnen wird auch pro GB verarbeiteter Daten in Rechnung gestellt. Weitere Informationen finden Sie unter AWS PrivateLink -Preisgestaltung.

Inhalt

Weitere Informationen finden Sie unter Gateway Load Balancer.

Übersicht

Das folgende Diagramm zeigt, wie Anwendungsserver auf Sicherheits-Appliances zugreifen AWS PrivateLink. Die Anwendungsserver werden in einem Subnetz der Service-Verbraucher-VPC ausgeführt. Sie erstellen einen Gateway-Load-Balancer-Endpunkt in einem anderen Subnetz derselben VPC. Der gesamte Datenverkehr, der über das Internet-Gateway in die Service-Verbraucher-VPC gelangt, wird zunächst zur Überprüfung an den Gateway-Load-Balancer-Endpunkt weitergeleitet und dann an das Zielsubnetz. Ebenso wird der gesamte Datenverkehr, der die Anwendungsserver verlässt, zur Überprüfung an den Gateway-Load-Balancer-Endpunkt geleitet, bevor er über das Internet-Gateway zurückgeleitet wird.

Verwenden eines Gateway-Load-Balancer-Endpunkts für den Zugriff auf Sicherheits-Appliances.
Datenverkehr vom Internet zu den Anwendungsservern (blaue Pfeile):

  1. Der Datenverkehr gelangt über das Internet-Gateway in die Service-Verbraucher-VPC.

  2. Der Datenverkehr wird basierend auf der Routingtabellenkonfiguration an den Gateway-Load-Balancer-Endpunkt gesendet.

  3. Der Datenverkehr wird zur Überprüfung durch die Sicherheits-Appliance an den Gateway Load Balancer gesendet.

  4. Der Datenverkehr wird nach der Überprüfung an den Gateway-Load-Balancer-Endpunkt zurückgesendet

  5. Der Datenverkehr wird basierend auf der Konfiguration der Routing-Tabelle an die Anwendungsserver gesendet.

Datenverkehr von den Anwendungsservern ins Internet (orangefarbene Pfeile):

  1. Der Datenverkehr wird basierend auf der Routingtabellenkonfiguration an den Gateway-Load-Balancer-Endpunkt gesendet.

  2. Der Datenverkehr wird zur Überprüfung durch die Sicherheits-Appliance an den Gateway Load Balancer gesendet.

  3. Der Datenverkehr wird nach der Überprüfung an den Gateway-Load-Balancer-Endpunkt zurückgesendet

  4. Der Datenverkehr wird basierend auf der Routingtabellenkonfiguration an das Internet-Gateway gesendet.

  5. Der Datenverkehr wird zurück ins Internet geleitet.

IP-Adresstypen

Serviceanbieter können ihre Service-Endpunkte den Servicenutzern über IPv4, IPv6 oder sowohl IPv4 als auch IPv6 zur Verfügung stellen, auch wenn ihre Sicherheitsanwendungen nur IPv4 unterstützen. Wenn Sie die Dualstack-Support aktivieren, können bestehende Verbraucher weiterhin IPv4 verwenden, um auf Ihren Service zuzugreifen, und neue Verbraucher können IPv6 für den Zugriff auf Ihren Service verwenden.

Wenn ein Endpunkt des Gateway-Load-Balancers IPv4 unterstützt, verfügen die Endpunkt-Netzwerkschnittstellen über IPv4-Adressen. Wenn ein Endpunkt des Gateway-Load-Balancers IPv6 unterstützt, verfügen die Endpunkt-Netzwerkschnittstellen über IPv6-Adressen. Die IPv6-Adresse für eine Endpunkt-Netzwerkschnittstelle ist aus dem Internet nicht erreichbar. Wenn Sie eine Endpunktnetzwerkschnittstelle mit einer IPv6-Adresse beschreiben, beachten Sie, dass denyAllIgwTraffic aktiviert ist.

Anforderungen zum Aktivieren von IPv6 für einen Endpunkt-Service

  • Die VPC und Subnetze für den Endpunkt-Service müssen IPv6-CIDR-Blöcke haben.

  • Der Gateway-Load-Balancer für den Endpunktservice muss den IP-Adresstyp Dualstack verwenden. Die Sicherheits-Appliances müssen keinen IPv6-Datenverkehr unterstützen.

Anforderungen zum Aktivieren von IPv6 für einen Endpunkt des Gateway-Load-Balancers

  • Der Endpunktservice muss über einen IP-Adresstyp verfügen, der IPv6-Unterstützung beinhaltet.

  • Der IP-Adresstyp eines Endpunkts des Gateway-Load-Balancers muss mit dem Subnetz für den Endpunkt des Gateway-Load-Balancers kompatibel sein, wie hier beschrieben:

    • IPv4 – Weisen Sie Ihren Endpunkt-Netzwerkschnittstellen IPv4-Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze über IPv4-Adressbereiche verfügen.

    • IPv6 – Weisen Sie Ihren Endpunktnetzwerkschnittstellen IPv6-Adressen. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze reine IPv6-Subnetze sind.

    • Dualstack – Zuweisen von IPv4- und IPv6-Adressen zu Ihren Endpunktnetzwerkschnittstellen. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze sowohl IPv4- als auch IPv6-Adressbereiche aufweisen.

  • Die Routing-Tabellen für die Subnetze in der Servicenutzer-VPC müssen IPv6-Datenverkehr weiterleiten und die Netzwerk-ACLs für diese Subnetze müssen IPv6-Datenverkehr zulassen.

Routing

Um den Datenverkehr an den Endpunkt-Service weiterzuleiten, geben Sie den Gateway-Load-Balancer-Endpunkt als Ziel in Ihren Routingtabellen an, indem Sie seine ID verwenden. Fügen Sie für das obige Diagramm wie folgt Routen zu den Routing-Tabellen hinzu. Beachten Sie, dass IPv6-Routen für eine Dualstack-Konfiguration enthalten sind.

Routing-Tabelle für das Internet-Gateway

Diese Routing-Tabelle muss über eine Route verfügen, die Datenverkehr für die Anwendungsserver an den Gateway-Load-Balancer-Endpunkt sendet.

Bestimmungsort Ziel
VPC – IPv4 CIDR Local
VPC – IPv6 CIDR Local
Anwendungs-Subnetz – IPv4 CIDR vpc-endpoint-id
Anwendungs-Subnetz – IPv6 CIDR vpc-endpoint-id
Routing-Tabelle für das Subnetz mit den Anwendungsservern

Diese Routing-Tabelle muss eine Route enthalten, die den gesamten Datenverkehr von den Anwendungsservern an den Endpunkt des Gateway-Load-Balancers sendet.

Bestimmungsort Ziel
VPC – IPv4 CIDR Local
VPC – IPv6 CIDR Local
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id
Routing-Tabelle für das Subnetz mit dem Gateway-Load-Balancer-Endpunkt

Diese Routing-Tabelle muss Datenverkehr, der von der Überprüfung zurückgegeben wird, an sein Endziel senden. Für Datenverkehr aus dem Internet sendet die lokale Route den Datenverkehr an die Anwendungsserver. Fügen Sie für Datenverkehr, der von den Anwendungsservern ausgeht, eine Route hinzu, die den gesamten Datenverkehr an das Internet-Gateway sendet.

Bestimmungsort Ziel
VPC – IPv4 CIDR Local
VPC – IPv6 CIDR Local
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id