Acceda a los dispositivos virtuales a través de AWS PrivateLink - Amazon Virtual Private Cloud
Información generalTipos de direcciones IPEnrutamiento

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceda a los dispositivos virtuales a través de AWS PrivateLink

Puede utilizar un punto de enlace del balanceador de carga de gateway para distribuir tráfico a una flota de dispositivos virtuales de red. Los dispositivos se pueden utilizar para inspecciones de seguridad, cumplimiento, controles de políticas y otros servicios de red. El equilibrador de carga de puerta de enlace se especifica cuando se crea un servicio de punto de conexión de VPC. Otras entidades principales de AWS acceden al servicio de punto de conexión mediante la creación de un punto de conexión del equilibrador de carga de puerta de enlace.

Precios

Se le facturará por cada hora que se aprovisione su punto final de Gateway Load Balancer en cada zona de disponibilidad. También se le factura por GB de datos procesados. Para obtener más información, consulte AWS PrivateLink Precios.

Contenido

Para obtener más información, consulte Balanceadores de carga de puerta de enlace.

Información general

El siguiente diagrama muestra cómo los servidores de aplicaciones acceden a los dispositivos de seguridad a través AWS PrivateLink de ellos. Los servidores de aplicaciones se ejecutan en una subred de la VPC del consumidor del servicio. Crea un punto de conexión del equilibrador de carga de puerta de enlace en otra subred de la misma VPC. Todo el tráfico que ingresa a la VPC del consumidor del servicio a través de la puerta de enlace de Internet se dirige primero al punto de conexión del equilibrador de carga de puerta de enlace para su inspección y, luego, se dirige a la subred de destino. Del mismo modo, todo el tráfico que sale de los servidores de aplicaciones se dirige al punto de conexión del equilibrador de carga de puerta de enlace para su inspección antes de que se dirija nuevamente a través de la puerta de enlace de Internet.

Uso de un punto de conexión del equilibrador de carga de puerta de enlace para acceder a dispositivos de seguridad.
Tráfico de Internet a los servidores de aplicaciones (flechas azules):

  1. El tráfico ingresa a la VPC del consumidor del servicio a través de la puerta de enlace de Internet.

  2. El tráfico se envía al punto de conexión del equilibrador de carga de la puerta de enlace, en función de la configuración de la tabla de enrutamiento.

  3. El tráfico se envía al equilibrador de carga de la puerta de enlace para su inspección a través del dispositivo de seguridad.

  4. El tráfico se envía nuevamente al punto de conexión del equilibrador de carga de la puerta de enlace después de la inspección.

  5. El tráfico se envía a los servidores de aplicaciones, en función de la configuración de la tabla de enrutamiento.

Tráfico de los servidores de aplicaciones a Internet (flechas naranjas):

  1. El tráfico se envía al punto de conexión del equilibrador de carga de la puerta de enlace, en función de la configuración de la tabla de enrutamiento.

  2. El tráfico se envía al equilibrador de carga de la puerta de enlace para su inspección a través del dispositivo de seguridad.

  3. El tráfico se envía nuevamente al punto de conexión del equilibrador de carga de la puerta de enlace después de la inspección.

  4. El tráfico se envía a la puerta de enlace de Internet en función de la configuración de la tabla de enrutamiento.

  5. El tráfico se dirige nuevamente a Internet.

Tipos de direcciones IP

Los proveedores de servicios pueden poner sus puntos de conexión de servicio a disposición de los consumidores del servicio mediante IPv4, IPv6 o tanto IPv4 como IPv6, incluso si los dispositivos de seguridad solo admiten IPv4. Si habilita la compatibilidad con dualstack, los consumidores actuales pueden seguir utilizando IPv4 para acceder al servicio y los consumidores nuevos pueden elegir utilizar IPv6 para acceder al servicio.

Si un punto de conexión de equilibrador de carga de puerta de enlace admite IPv4, las interfaces de red del punto de conexión tienen direcciones IPv4. Si un punto de conexión de equilibrador de carga de puerta de enlace admite IPv6, las interfaces de red del punto de conexión tienen direcciones IPv6. No se puede acceder a la dirección IPv6 de una interfaz de red de punto de conexión desde Internet. Si describe una interfaz de red de punto de conexión con una dirección IPv6, observe que denyAllIgwTraffic esté habilitado.

Requisitos para habilitar IPv6 para un servicio de punto de conexión

  • La VPC y las subredes del servicio de punto de conexión deben tener bloques de CIDR IPv6 asociados.

  • El equilibrador de carga de puerta de enlace del servicio de punto de conexión debe utilizar el tipo de dirección IP de doble pila. No es necesario que los dispositivos de seguridad admitan tráfico IPv6.

Requisitos para habilitar IPv6 para un punto de conexión de equilibrador de carga de puerta de enlace

  • El servicio de punto de conexión debe tener un tipo de dirección IP compatible con IPv6.

  • El tipo de dirección IP de un punto de conexión de equilibrador de carga de puerta de enlace debe ser compatible con la subred del punto de conexión de equilibrador de carga de puerta de enlace, como se describe a continuación:

    • IPv4: se asignan direcciones IPv4 a las interfaces de red del punto de conexión. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de direcciones IPv4.

    • IPv6: se asignan direcciones IPv6 a las interfaces de red del punto de conexión. Esta opción solo se admite si todas las subredes seleccionadas son subredes IPv6.

    • Dualstack: se asignan direcciones IPv4 e IPv6 a las interfaces de red del punto de conexión. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de direcciones IPv4 e IPv6.

  • Las tablas de enrutamiento de las subredes de la VPC del consumidor del servicio deben enrutar el tráfico IPv6 y las ACL de red de estas subredes deben permitir el tráfico IPv6.

Enrutamiento

Para dirigir el tráfico al servicio de punto de conexión, especifique el punto de conexión del equilibrador de carga de la puerta de enlace como destino en las tablas de enrutamiento, con el ID. En el diagrama anterior, agregue rutas a las tablas de enrutamiento de la siguiente manera. Tenga en cuenta que las rutas IPv6 se incluyen en una configuración de doble pila.

Tabla de enrutamiento para la puerta de enlace de Internet

Esta tabla de enrutamiento debe tener una ruta que envíe el tráfico destinado a los servidores de aplicaciones al punto de conexión del equilibrador de carga de la puerta de enlace.

Destino Objetivo
CIDR IPv4 de VPC Local
CIDR IPv6 de VPC Local
CIDR de la subred IPv4 de la aplicación vpc-endpoint-id
CIDR de la subred IPv6 de la aplicación vpc-endpoint-id
Tabla de enrutamiento para la subred con los servidores de aplicaciones

Esta tabla de enrutamiento debe tener una ruta que envíe todo el tráfico desde los servidores de aplicaciones al punto de conexión del equilibrador de carga de la puerta de enlace.

Destino Objetivo
CIDR IPv4 de VPC Local
CIDR IPv6 de VPC Local
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id
Tabla de enrutamiento para la subred con el punto de conexión del equilibrador de carga de la puerta de enlace

Esta tabla de enrutamiento debe enviar el tráfico que se devuelve de la inspección a su destino final. En el caso del tráfico que proviene de Internet, la ruta local envía el tráfico a los servidores de aplicaciones. Para el tráfico que proviene de los servidores de aplicaciones, agregue una ruta que dirija todo el tráfico a la puerta de enlace de Internet.

Destino Objetivo
CIDR IPv4 de VPC Local
CIDR IPv6 de VPC Local
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id