Meilleures pratiques pour la préservation des adresses IP des clients

Lorsque vous utilisez la préservation des adresses IP du client dans AWS Global Accelerator, gardez à l'esprit les informations et les meilleures pratiques de cette section pour les interfaces réseau élastiques et les groupes de sécurité.

Pour prendre en charge la préservation des adresses IP des clients, Global Accelerator crée des interfaces réseau élastiques dans votre compte AWS, une pour chaque sous-réseau où un point de terminaison est présent. Une interface réseau élastique est un composant réseau logique dans un VPC qui représente une carte réseau virtuelle. Global Accelerator utilise ces interfaces réseau élastiques pour acheminer le trafic vers les points de terminaison configurés derrière un accélérateur. Les points de terminaison pris en charge pour le routage du trafic de cette façon sont les équilibreurs de charge d'application (internes et Internet) et les instances Amazon EC2.

Note

Lorsque vous ajoutez un Application Load Balancer interne ou un point de terminaison d'instance EC2 dans Global Accelerator, vous autorisez le trafic Internet à circuler directement vers et depuis le point de terminaison dans Virtual Private Clouds (VPC) en le ciblant dans un sous-réseau privé. Pour plus d'informations, consultez Connexions VPC sécurisées dans AWS Global Accelerator.

Comment Global Accelerator utilise les interfaces réseau élastiques

Lorsque vous avez un équilibreur de charge d'application avec la conservation de l'adresse IP du client activée, le nombre de sous-réseaux dans lesquels se trouve l'équilibreur de charge détermine le nombre d'interfaces réseau élastiques que Global Accelerator crée dans votre compte. Global Accelerator crée une elastic network interface pour chaque sous-réseau qui comporte au moins une elastic network interface de l'Application Load Balancer qui est orientée par un accélérateur dans votre compte.

Les exemples suivants illustrent comment cela fonctionne :

• Exemple 1 : Si un équilibreur de charge d'application possède des interfaces réseau élastiques dans le sous-réseau A et le sous-réseau B, puis que vous ajoutez l'équilibreur de charge comme point de terminaison d'accélérateur, Global Accelerator crée deux interfaces réseau élastiques, une dans chaque sous-réseau.

• Exemple 2 : Si vous ajoutez, par exemple, un ALB1 qui a des interfaces réseau élastiques dans SubNETA et SubNetB à Accelerator1, puis ajoutez un ALB2 avec des interfaces réseau élastiques dans le sous-réseau A et le sous-réseau B à Accelerator2, Global Accelerator ne crée que deux interfaces réseau élastiques : une dans SubNETA et une dans SubNetB.

• Exemple 3 : Si vous ajoutez un ALB1 qui a des interfaces réseau élastiques dans SubNETA et SubNetB à Accelerator1, puis ajoutez un ALB2 avec des interfaces réseau élastiques dans SubNETA et SubNetC à Accelerator2, Global Accelerator crée trois interfaces réseau élastiques : une dans SubNETA, une dans SubNetB et une dans SubNetC. L'elastic network interface de SubNETA fournit le trafic activé pour Accelerator1 et Accelerator2.

Comme indiqué dans l'exemple 3, les interfaces réseau élastiques sont réutilisées entre les accélérateurs si les points de terminaison du même sous-réseau sont placés derrière plusieurs accélérateurs.

Les interfaces réseau élastiques logiques créées par Global Accelerator ne représentent pas un hôte unique, un goulot d'étranglement de débit ou un point de défaillance unique. Comme d'autres services AWS qui apparaissent sous la forme d'une elastic network interface unique dans une zone de disponibilité ou un sous-réseau, des services tels qu'une passerelle de traduction d'adresses réseau (NAT) ou un équilibrage de charge réseau, Global Accelerator est implémenté en tant que service hautement disponible à échelle horizontale.

Évaluez le nombre de sous-réseaux utilisés par les points de terminaison dans vos accélérateurs pour déterminer le nombre d'interfaces réseau élastiques que Global Accelerator créera. Avant de créer un accélérateur, assurez-vous que vous disposez d'une capacité d'espace d'adressage IP suffisante pour les interfaces réseau élastiques requises, au moins une adresse IP libre par sous-réseau concerné. Si vous n'avez pas assez d'espace d'adressage IP libre, vous devez créer ou utiliser un sous-réseau disposant d'un espace d'adressage IP suffisant pour votre Application Load Balancer et les interfaces réseau élastiques Global Accelerator associées.

Lorsque Global Accelerator détermine qu'aucune elastic network interface n'est utilisée par aucun des points de terminaison des accélérateurs de votre compte, Global Accelerator supprime l'interface.

Groupes de sécurité créés par Global Accelerator

Consultez les informations et les meilleures pratiques suivantes lorsque vous travaillez avec Global Accelerator et des groupes de sécurité.

• Global Accelerator crée des groupes de sécurité associés à ses interfaces réseau élastiques. Bien que le système ne vous empêche pas de le faire, vous ne devez pas modifier les paramètres du groupe de sécurité pour ces groupes.

• Global Accelerator ne supprime pas les groupes de sécurité qu'il crée. Toutefois, Global Accelerator supprime une elastic network interface si elle n'est utilisée par aucun des points de terminaison des accélérateurs de votre compte.

• Vous pouvez utiliser les groupes de sécurité créés par Global Accelerator comme groupe source dans d'autres groupes de sécurité que vous maintenez à jour, mais Global Accelerator transfère uniquement le trafic vers les cibles que vous spécifiez dans votre VPC.

• Si vous modifiez les règles de groupe de sécurité créées par Global Accelerator, le point de terminaison peut devenir défectueux. Dans ce cas, contactezAWS SupportPour obtenir de l'aide.

• Global Accelerator crée un groupe de sécurité spécifique pour chaque VPC. Les interfaces réseau élastiques créées pour les points de terminaison d'un VPC spécifique utilisent toutes le même groupe de sécurité, quel que soit le sous-réseau auquel une elastic network interface est associée.