Accedi alle appliance virtuali tramite AWS PrivateLink - Amazon Virtual Private Cloud
PanoramicaTipi di indirizzi IPRouting

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accedi alle appliance virtuali tramite AWS PrivateLink

Puoi utilizzare un Gateway Load Balancer per distribuire il traffico a una flotta di appliance virtuali di rete. Le appliance possono essere utilizzate per ispezioni di sicurezza, conformità, controlli delle policy e altri servizi di rete. Quando crei un servizio endpoint VPC, specifica il Gateway Load Balancer. Gli altri principali AWS possono accedere al servizio endpoint creando un Endpoint Gateway Load Balancer.

Prezzi

La fatturazione viene calcolata per ogni ora di provisioning dell'endpoint Gateway Load Balancer in ciascuna zona di disponibilità. Ti viene inoltre addebitato un importo per GB di dati elaborati. Per ulteriori informazioni, consulta la sezione Prezzi di AWS PrivateLink.

Indice

Per ulteriori informazioni, consultare Bilanciatori del carico del gateway.

Panoramica

Il diagramma seguente mostra in che modo i server delle applicazioni accedono alle appliance di sicurezza tramite. AWS PrivateLink I server dell'applicazione vengono eseguiti in una sottorete del VPC dell'utente del servizio. Crea un endpoint Gateway Load Balancer in un'altra sottorete dello stesso VPC. Tutto il traffico che entra nel VPC dell'utente del servizio attraverso il gateway Internet viene innanzitutto instradato all'endpoint Gateway Load Balancer per l'ispezione e poi instradato alla sottorete di destinazione. Analogamente, tutto il traffico che esce dai server dell'applicazione viene instradato sull'endpoint Gateway Load Balancer per l'ispezione prima di essere instradato nuovamente attraverso il gateway Internet.

Utilizzo di un endpoint Gateway Load Balancer per accedere alle appliance di sicurezza.
Traffico in transito da Internet ai server dell'applicazione (frecce blu):

  1. Il traffico entra nel VPC dell'utente del servizio attraverso il gateway Internet.

  2. Il traffico viene inviato all'endpoint Gateway Load Balancer in base alla configurazione della tabella di instradamento.

  3. Il traffico viene inviato al Gateway Load Balancer per l'ispezione tramite l'appliance di sicurezza.

  4. Il traffico viene inviato nuovamente all'endpoint Gateway Load Balancer dopo l'ispezione.

  5. Il traffico viene inviato ai server dell'applicazione in base alla configurazione della tabella di instradamento.

Traffico in transito dai server dell'applicazione a Internet (frecce arancioni):

  1. Il traffico viene inviato all'endpoint Gateway Load Balancer in base alla configurazione della tabella di instradamento.

  2. Il traffico viene inviato al Gateway Load Balancer per l'ispezione tramite l'appliance di sicurezza.

  3. Il traffico viene inviato nuovamente all'endpoint Gateway Load Balancer dopo l'ispezione.

  4. Il traffico viene inviato al gateway Internet in base alla configurazione della tabella di instradamento.

  5. Il traffico viene reindirizzato a Internet.

Tipi di indirizzi IP

I provider di servizi possono rendere i propri endpoint di servizio disponibili agli utenti tramite IPv4, IPv6 o entrambi, anche se le appliance di sicurezza supportano solo IPv4. Se si abilita il supporto dualstack, gli utenti esistenti possono continuare a utilizzare IPv4 per accedere al servizio, mentre i nuovi utenti possono scegliere di utilizzare IPv6.

Se un endpoint Gateway Load Balancer supporta IPv4, le interfacce di rete dell'endpoint dispongono di indirizzi IPv4. Se un endpoint Gateway Load Balancer supporta IPv6, le interfacce di rete dell'endpoint dispongono di indirizzi IPv6. L'indirizzo IPv6 per un'interfaccia di rete dell'endpoint non è raggiungibile da Internet. Se si descrive un'interfaccia di rete dell'endpoint con un indirizzo IPv6, l'opzione denyAllIgwTraffic sarà abilitata.

Requisiti per abilitare IPv6 per un servizio endpoint

  • Il VPC e le sottoreti per il servizio endpoint devono disporre di blocchi CIDR IPv6 associati.

  • Il Gateway Load Balancer per il servizio endpoint deve utilizzare il tipo di indirizzo IP dualstack. Le appliance di sicurezza non devono necessariamente supportare il traffico IPv6.

Requisiti per abilitare IPv6 per un endpoint Gateway Load Balancer

  • Il servizio endpoint deve avere un tipo di indirizzo IP che includa il supporto IPv6.

  • Il tipo di indirizzo IP di un endpoint Gateway Load Balancer deve essere compatibile con la sottorete dell'endpoint Gateway Load Balancer, come descritto di seguito:

    • IPv4: consente di assegnare indirizzi IPv4 alle interfacce di rete dell'endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate dispongono di intervalli di indirizzi IPv4.

    • IPv6: consente di assegnare indirizzi IPv6 alle interfacce di rete dell'endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate sono sottoreti solo IPv6.

    • Dualstack: consente di assegnare sia indirizzi IPv4 che IPv6 alle interfacce di rete dell'endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate dispongono di intervalli di indirizzi IPv4 e IPv6.

  • Le tabelle di instradamento per le sottoreti nel VPC del consumer del servizio devono instradare il traffico IPv6 e le ACL di rete per queste sottoreti devono consentire il traffico IPv6.

Routing

Per instradare il traffico al servizio endpoint, specifica l'endpoint Gateway Load Balancer come destinazione nelle tabelle di instradamento, utilizzando il relativo ID. Partendo dal diagramma precedente, aggiungi le route alle tabelle di instradamento, come descritto di seguito. Ricorda che le route IPv6 sono incluse in una configurazione dualstack.

Tabella di instradamento per il gateway Internet

Questa tabella di instradamento deve disporre di una route che invia il traffico destinato ai server dell'applicazione all'endpoint Gateway Load Balancer.

Destinazione Target
CIDR IPv4 del VPC Locale
CIDR IPv6 del VPC Locale
CIDR IPv4 sottorete applicazione vpc-endpoint-id
CIDR IPv6 sottorete applicazione vpc-endpoint-id
Tabella di instradamento per la sottorete con i server dell'applicazione

Questa tabella di instradamento deve disporre di una route che invia tutto il traffico dai server dell'applicazione all'endpoint Gateway Load Balancer.

Destinazione Target
CIDR IPv4 del VPC Locale
CIDR IPv6 del VPC Locale
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id
Tabella di instradamento per la sottorete con l'endpoint Gateway Load Balancer

Questa tabella di instradamento deve indirizzare il traffico restituito dall'ispezione alla destinazione finale. Per il traffico proveniente da Internet, la route locale invia il traffico ai server dell'applicazione. Per il traffico proveniente dai server dell'applicazione, aggiungi una route che invii tutto il traffico al gateway Internet.

Destinazione Target
CIDR IPv4 del VPC Locale
CIDR IPv6 del VPC Locale
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id