Domande frequenti - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Domande frequenti

Ho bisogno di un sistema di bilanciamento del carico per instradare il traffico Internet attraverso un firewall in un'implementazione multi-AZ?

AWS Network Firewall è trasparente per il traffico in entrata e in uscita e non richiede di per sé un sistema di bilanciamento del carico. Un sistema di bilanciamento del carico è necessario solo per l'applicazione (come in un'implementazione multi-AZ standard). Nell'architettura delle zone perimetrali di questa guida, Network Firewall viene inserito tramite le tabelle di routing e le corrispondenti interfacce di rete nella sottorete pubblica.

Se l'Application Load Balancer non si trova in una sottorete pubblica (indirizzata a un gateway Internet), si tratta di un Application Load Balancer interno?

L'Application Load Balancer non è un Application Load Balancer interno. L'Application Load Balancer continua verso la sottorete esterna con accesso a Internet, anche se la sottorete non è connessa direttamente a Internet. La sottorete è disponibile in modo trasparente su Internet perché il routing dalla sottorete dell'endpoint alla sottorete pubblica si basa sull'interfaccia di rete di Network Firewall.

Network Firewall necessita di una propria sottorete di sicurezza?

Sì, Network Firewall necessita di una propria sottorete di sicurezza. La sottorete di sicurezza (pubblica) è necessaria per garantire che il routing del traffico da e verso l'Application Load Balancer possa essere controllato tramite le tabelle di routing.

L'architettura di destinazione è valida sia per il firewall del traffico in ingresso che in uscita?

Sì, l'architettura di destinazione è valida sia per il firewall del traffico in ingresso che in uscita. Se viene avviata una connessione dall'applicazione verso l'esterno del VPC, è necessario aggiungere un gateway NAT alla sottorete dell'endpoint. Inoltre, è necessario inoltrare il traffico dalla sottorete dell'applicazione al gateway NAT utilizzando una tabella di routing (come illustrato dall'app Route table nel diagramma della sezione Perimeter zone architecture based on Network Firewall di questa guida). Quindi, non sono necessarie ulteriori modifiche perché tutto il traffico in uscita passa comunque attraverso Network Firewall.