Ajout de points de terminaison avec préservation de l'adresse IP client - AWS Global Accelerator

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajout de points de terminaison avec préservation de l'adresse IP client

Une fonctionnalité que vous pouvez utiliser avec certains types de point de terminaison (dans certaines régions) estPréservation d'adresses IP du client. Avec cette fonctionnalité, vous préservez l'adresse IP source du client d'origine pour les paquets qui arrivent au point de terminaison. Vous pouvez utiliser cette fonctionnalité avec l'Application Load Balancer et les points de terminaison d'instance Amazon EC2. Les points de terminaison des accélérateurs de routage personnalisés ont toujours l'adresse IP du client conservée. Pour plus d'informations, consultez Conserver les adresses IP des clients dans AWS Global Accelerator.

Si vous avez l'intention d'utiliser la fonctionnalité de conservation des adresses IP du client, prenez en compte les points suivants lorsque vous ajoutez des points de terminaison à Global Accelerator :

Interfaces réseau Elastic

Pour prendre en charge la préservation des adresses IP des clients, Global Accelerator crée des interfaces réseau élastiques dans votre compte AWS, une pour chaque sous-réseau où un point de terminaison est présent. Pour plus d'informations sur le fonctionnement de Global Accelerator avec les interfaces réseau Elastic, consultezMeilleures pratiques pour la préservation des adresses IP des clients.

Points de terminaison dans les sous-réseaux privés

Vous pouvez cibler un Application Load Balancer ou une instance EC2 dans un sous-réseau privé à l'aide d'AWS Global Accelerator, mais vous devez disposer d'unPasserelle Internetattaché au VPC qui contient les points de terminaison. Pour plus d'informations, consultez Connexions VPC sécurisées dans AWS Global Accelerator.

Ajouter l'adresse IP du client à la liste autorisée

Avant d'ajouter et de commencer à acheminer le trafic vers des points de terminaison qui conservent l'adresse IP du client, assurez-vous que toutes les configurations de sécurité requises, par exemple les groupes de sécurité, sont mises à jour pour inclure l'adresse IP du client utilisateur dans la liste autorisée. Les listes de contrôle d'accès réseau (listes ACL) ne s'appliquent qu'au trafic sortant. Si vous devez filtrer le trafic entrant (entrant), vous devez utiliser des groupes de sécurité.

Configurer les listes de contrôle d'accès réseau (listes ACL)

Les listes d'accès réseau associées à vos sous-réseaux VPC s'appliquent au trafic de sortie (sortant) lorsque la préservation de l'adresse IP du client est activée sur votre accélérateur. Toutefois, pour que le trafic puisse quitter via Global Accelerator, vous devez configurer la liste ACL en tant que règle entrante et sortante.

Par exemple, pour permettre aux clients TCP et UDP utilisant un port source éphémère de se connecter à votre point de terminaison via Global Accelerator, associez le sous-réseau de votre point de terminaison à une liste ACL réseau qui autorise le trafic sortant destiné à un port TCP ou UDP éphémère (plage de ports 1024-65535, destination 0.0.0.0/0). De plus, créez une règle entrante correspondante (plage de ports 1024-65535, source 0.0.0.0/0).

Note

Le groupe de sécurité et les règles AWS WAF constituent un ensemble supplémentaire de fonctionnalités que vous pouvez appliquer pour protéger vos ressources. Par exemple, les règles de groupe de sécurité entrantes associées à vos instances Amazon EC2 et aux équilibreurs de charge d'application vous permettent de contrôler les ports de destination auxquels les clients peuvent se connecter via Global Accelerator, tels que le port 80 pour HTTP ou le port 443 pour HTTPS. Notez que les groupes de sécurité d'instance Amazon EC2 s'appliquent à tout trafic qui arrive à vos instances, y compris le trafic provenant de Global Accelerator et toute adresse IP publique ou Elastic attribuée à votre instance. Il est recommandé d'utiliser des sous-réseaux privés si vous souhaitez vous assurer que le trafic est fourni uniquement par Global Accelerator. Assurez-vous également que les règles du groupe de sécurité entrant sont configurées de manière appropriée pour autoriser ou refuser correctement le trafic pour vos applications.