Agregar puntos finales con preservación de direcciones IP del cliente

Una característica que puede usar con algunos tipos de punto final (en algunas regiones) esPreserve la dirección IP de cliente. Con esta característica, conserva la dirección IP de origen del cliente original para los paquetes que llegan al extremo. Puede utilizar esta función con Application Load Balancer y los extremos de instancia de Amazon EC2. Los extremos de los aceleradores de enrutamiento personalizados siempre conservan la dirección IP del cliente. Para obtener más información, consulte Conservar las direcciones IP del cliente en el AWS Global Accelerator.

Si tiene intención de utilizar la característica de preservación de direcciones IP del cliente, tenga en cuenta lo siguiente al agregar endpoints a Global Accelerator:

Interfaces de red elásticas

Para admitir la preservación de direcciones IP del cliente, Global Accelerator crea interfaces de red elásticas en su cuenta de AWS, una para cada subred en la que esté presente un endpoint. Para obtener más información acerca del funcionamiento de Global Accelerator con interfaces de red elásticas, consultePrácticas recomendadas para la conservación de direcciones IP del cliente.

Puntos de enlace en subredes privadas

Puede dirigirse a un Application Load Balancer o a una instancia EC2 en una subred privada mediante el AWS Global Accelerator, pero debe tener ungateway de Internetconectado a la VPC que contiene los extremos. Para obtener más información, consulte Conexiones VPC seguras en AWS Global Accelerator.

Añadir la dirección IP de cliente a la lista de permisos

Antes de agregar y comenzar a enrutar el tráfico a los extremos que conservan la dirección IP del cliente, asegúrese de que todas las configuraciones de seguridad necesarias, por ejemplo, grupos de seguridad, se actualizan para incluir la dirección IP del cliente del usuario en la lista de permisos. Listas de control de acceso (ACL) de red solo se aplican al tráfico de salida (saliente). Si necesita filtrar el tráfico de entrada (entrante), debe usar grupos de seguridad.

Configurar listas de control de acceso a la red (ACL)

Las ACL de red asociadas a las subredes de VPC se aplican al tráfico de salida (saliente) cuando la preservación de la dirección IP del cliente está habilitada en el acelerador. Sin embargo, para que el tráfico pueda salir a través del acelerador global, debe configurar la ACL como regla de entrada y salida.

Por ejemplo, para permitir que los clientes TCP y UDP que utilicen un puerto de origen efímero se conecten al endpoint mediante Global Accelerator, asocie la subred del endpoint con una ACL de red que permita el tráfico saliente destinado a un puerto TCP o UDP efímero (rango de puertos 1024-65535, destino 0.0.0.0/0). Además, cree una regla de entrada coincidente (rango de puertos 1024-65535, origen 0.0.0.0/0).

nota

El grupo de seguridad y las reglas de AWS WAF son un conjunto adicional de capacidades que puede aplicar para proteger sus recursos. Por ejemplo, las reglas del grupo de seguridad entrante asociadas a las instancias de Amazon EC2 y los equilibradores de carga de aplicaciones le permiten controlar los puertos de destino a los que pueden conectarse los clientes a través del acelerador global, como el puerto 80 para HTTP o el puerto 443 para HTTPS. Tenga en cuenta que los grupos de seguridad de instancias de Amazon EC2 se aplican a cualquier tráfico que llegue a sus instancias, incluido el tráfico de Global Accelerator y cualquier dirección IP pública o elástica asignada a su instancia. Como práctica recomendada, utilice subredes privadas si desea asegurarse de que el tráfico sólo lo entregue Global Accelerator. Asegúrese también de que las reglas del grupo de seguridad entrante están configuradas adecuadamente para permitir o denegar correctamente el tráfico para las aplicaciones.