Acesse um sistema de inspeção usando um endpoint do Gateway Load Balancer

Você pode criar um endpoint do Gateway Load Balancer para se conectar aos serviços de endpoint do AWS PrivateLink.

Para cada sub-rede que você especifica em sua VPC, criamos uma interface de rede de endpoint na sub-rede e atribuímos a ela um endereço IP privado do intervalo de endereços da sub-rede. Uma interface de rede de endpoint é uma interface de rede gerenciada pelo solicitante; você pode visualizá-la no seu Conta da AWS, mas não pode gerenciá-la sozinho.

Você é cobrado pelas tarifas de uso por hora e processamento de dados. Para obter mais informações, consulte Preços de endpoint do balanceador de carga de gateway.

Considerações

• É possível escolher apenas uma zona de disponibilidade na VPC do consumidor do serviço. Não será possível alterar essa sub-rede mais tarde. Para usar um endpoint do Gateway Load Balancer em uma sub-rede diferente, é necessário criar um novo endpoint do Gateway Load Balancer.

• Você pode criar um único endpoint do Gateway Load Balancer por zona de disponibilidade por serviço, mas é necessário selecionar a zona de disponibilidade compatível com o Gateway Load Balancer. Quando o provedor de serviços e o consumidor do serviço estão em contas diferentes, um nome de zona de disponibilidade, como us-east-1a, pode ser mapeado para uma zona de disponibilidade física diferente em cada Conta da AWS. Você pode usar IDs de zonas de disponibilidade para identificar de forma consistente as zonas de disponibilidade do serviço. Para obter mais informações, consulte AZ IDs no Guia do usuário do Amazon EC2.

• Antes de usar o serviço de endpoint, o provedor de serviços deverá aceitar as solicitações de conexão. O serviço não pode iniciar solicitações para recursos em sua VPC pelo endpoint da VPC. O endpoint retorna apenas respostas ao tráfego que foi iniciado por recursos em sua VPC.

• Cada endpoint do balanceador de carga do gateway é compatível com uma largura de banda de até 10 Gbps por zona de disponibilidade e pode aumentar a escala verticalmente para até 100 Gbps de modo automático.

• Se um serviço de endpoint estiver associado a vários Gateway Load Balancers, um endpoint do Gateway Load Balancer estabelecerá uma conexão com somente um balanceador de carga por zona de disponibilidade.

• Para manter o tráfego na mesma zona de disponibilidade, recomendamos criar um endpoint do Gateway Load Balancer em cada zona de disponibilidade para a qual você enviará tráfego.

• Não há suporte para a preservação de IP do cliente do Network Load Balancer quando o tráfego é encaminhado por meio de um endpoint do Gateway Load Balancer, mesmo que o destino esteja na mesma VPC que o Network Load Balancer.

• Há cotas em seus AWS PrivateLink recursos. Para ter mais informações, consulte AWS PrivateLink cotas.

Pré-requisitos

• Crie uma VPC do consumidor do serviço com pelo menos duas sub-redes na zona de disponibilidade na qual você acessará o serviço. Uma sub-rede é destinada aos servidores da aplicação, e a outra é destinada ao endpoint do Gateway Load Balancer.

• Para verificar quais zonas de disponibilidade são compatíveis com o serviço de endpoint, descreva o serviço de endpoint usando o console ou o comando describe-vpc-endpoint-services.

• Se os recursos estiverem em uma sub-rede com uma ACL de rede, verifique se a ACL de rede permite tráfego entre as interfaces de rede do endpoint e os recursos na VPC.

Criar o endpoint

Use o seguinte procedimento para criar um endpoint do Gateway Load Balancer que se conecte ao serviço de endpoint do sistema de inspeção.

Para criar um endpoint do Gateway Load Balancer usando o console

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Endpoints.

3. Escolha Criar endpoint.

4. Em Service category (Categoria de serviço), escolha Other endpoint services (Outros serviços de endpoint).

5. Em Service name (Nome do serviço), insira o nome do serviço e escolha Verify service (Verificar serviço).

6. Em VPC, selecione a VPC na qual deseja criar o endpoint.

7. Para Subnets (Sub-redes), selecione a sub-rede na qual o endpoint será criado.

8. Em IP address type (Tipo de endereço IP), escolha uma das seguintes opções:

   • IPv4: atribua endereços IPv4 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas tiverem intervalos de endereços IPv4.

   • IPv6: atribua endereços IPv6 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas forem sub-redes IPv6 apenas.

   • Dualstack: atribua endereços IPv4 e IPv6 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas tiverem intervalos de endereços IPv4 e IPv6.

9. (Opcional) Para adicionar uma tag, escolha Adicionar nova tag e insira a chave e o valor da tag.

10. Escolha Criar endpoint. O status inicial é pending acceptance.

Para criar um endpoint do Gateway Load Balancer usando a linha de comando

• create-vpc-endpoint (AWS CLI)

• New-EC2VpcEndpoint(Ferramentas para Windows PowerShell)

Configurar o roteamento

Use o seguinte procedimento para configurar as seguintes tabelas de rotas para a VPC do consumidor do serviço. Isso permite que os dispositivos de segurança realizem a inspeção de segurança do tráfego de entrada destinado aos servidores de aplicações. Para ter mais informações, consulte Roteamento.

Para configurar o encaminhamento usando o console

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Route Tables.

3. Selecione a tabela de rotas do gateway da Internet e faça o seguinte:

   1. Selecione Actions (Ações), Edit routes (Editar rotas).

   2. Se você oferece suporte a IPv4, escolha Add route (Adicionar rota). Em Destination (Destino), insira o bloco CIDR IPv4 da sub-rede para os servidores de aplicações. Em Target (Destino), selecione o endpoint da VPC.

   3. Se você oferece suporte a IPv6, escolha Add route (Adicionar rota). Em Destination (Destino), insira o bloco CIDR IPv6 da sub-rede para os servidores de aplicações. Em Target (Destino), selecione o endpoint da VPC.

   4. Escolha Salvar alterações.

4. Selecione a tabela de rotas para a sub-rede com os servidores de aplicações e faça o seguinte:

   1. Selecione Actions (Ações), Edit routes (Editar rotas).

   2. Se você oferece suporte a IPv4, escolha Add route (Adicionar rota). Em Destination, insira 0.0.0.0/0. Em Target (Destino), selecione o endpoint da VPC.

   3. Se você oferece suporte a IPv6, escolha Add route (Adicionar rota). Em Destination, insira ::/0. Em Target (Destino), selecione o endpoint da VPC.

   4. Escolha Salvar alterações.

5. Selecione a tabela de rotas para a sub-rede com o endpoint do Gateway Load Balancer e faça o seguinte:

   1. Selecione Actions (Ações), Edit routes (Editar rotas).

   2. Se você oferece suporte a IPv4, escolha Add route (Adicionar rota). Em Destination, insira 0.0.0.0/0. Em Target (Destino), selecione o gateway da Internet.

   3. Se você oferece suporte a IPv6, escolha Add route (Adicionar rota). Em Destination, insira ::/0. Em Target (Destino), selecione o gateway da Internet.

   4. Escolha Salvar alterações.

Para configurar o encaminhamento usando a linha de comando

• create-route (AWS CLI)

• New-EC2Route(Ferramentas para Windows PowerShell)

Gerenciar tags

Você pode marcar o endpoint do Gateway Load Balancer para ajudar a identificá-lo ou categorizá-lo de acordo com as necessidades da organização.

Para gerenciar etiquetas usando o console

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Endpoints.

3. Selecione o endpoint da interface.

4. Escolha Actions (Ações), Manage tags (Gerenciar tags).

5. Para cada etiqueta a ser adicionada, escolha Add new tag (Adicionar nova etiqueta) e insira a chave e o valor da etiqueta.

6. Para remover uma etiqueta, escolha Remove (Remover) à direita da chave e do valor da etiqueta.

7. Selecione Save (Salvar).

Para gerenciar etiquetas usando a linha de comando

• create-tags and delete-tags (AWS CLI)

• New-EC2Tage Remove-EC2Tag(Ferramentas para Windows PowerShell)

Excluir um endpoint do Gateway Load Balancer

Quando não precisar mais de um endpoint, você poderá excluí-lo. A exclusão de um endpoint do Gateway Load Balancer também exclui as interfaces de rede de endpoint. Não será possível excluir um endpoint do Gateway Load Balancer se houver rotas nas tabelas de rotas que apontem para o endpoint.

Para excluir um endpoint do Gateway Load Balancer

1. Abra o console do Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Endpoints e selecione o seu endpoint.

3. Escolha Actions, Delete Endpoint.

4. Na tela de confirmação, escolha Yes, Delete.

Para excluir um endpoint do Gateway Load Balancer

• delete-vpc-endpoints (AWS CLI)

• Remove-EC2VpcEndpoint (AWS Tools for Windows PowerShell)