Acessar dispositivos virtuais pelo AWS PrivateLink
Você pode usar um Gateway Load Balancer para distribuir tráfego para uma frota de dispositivos virtuais de rede. Os dispositivos podem ser usados para inspeção de segurança, conformidade, controles de políticas e outros serviços de rede. Especifique o Gateway Load Balancer ao criar um serviço de endpoint da VPC. Outras entidades principais da AWS acessam o serviço de endpoint criando um endpoint do Gateway Load Balancer.
Definição de preço
Você é cobrado por cada hora que seu endpoint do Gateway Load Balancer é provisionado em cada zona de disponibilidade. Você também é cobrado por GB de dados processados. Para obter mais informações, consulte Preços do AWS PrivateLink
Conteúdo
Para obter mais informações, consulte Balanceadores de carga de gateway.
Visão geral
O seguinte diagrama mostra como os servidores de aplicações acessam dispositivos de segurança pelo AWS PrivateLink. Os servidores de aplicações são executados em uma sub-rede da VPC do consumidor do serviço. Crie um endpoint do Gateway Load Balancer em outra sub-rede da mesma VPC. Todo o tráfego que entra na VPC do consumidor do serviço pelo gateway da Internet é encaminhado primeiro ao endpoint do Gateway Load Balancer para inspeção antes de ser encaminhado à sub-rede de destino. Da mesma forma, todo o tráfego que sai dos servidores da aplicação é encaminhado primeiro ao endpoint do Gateway Load Balancer para inspeção antes de ser encaminhado ao gateway da Internet.
Tráfego da Internet para os servidores de aplicações (setas azuis):
-
O tráfego entra na VPC do consumidor do serviço pelo gateway da Internet.
-
O tráfego é enviado ao endpoint do Gateway Load Balancer com base na configuração da tabela de rotas.
-
O tráfego é enviado ao Gateway Load Balancer para inspeção pelo dispositivo de segurança.
-
O tráfego é reencaminhado ao endpoint do Gateway Load Balancer após a inspeção.
-
O tráfego é enviado aos servidores de aplicações com base na configuração da tabela de rotas.
Tráfego dos servidores de aplicações para a Internet (setas laranja):
-
O tráfego é enviado ao endpoint do Gateway Load Balancer com base na configuração da tabela de rotas.
-
O tráfego é enviado ao Gateway Load Balancer para inspeção pelo dispositivo de segurança.
-
O tráfego é reencaminhado ao endpoint do Gateway Load Balancer após a inspeção.
-
O tráfego é enviado ao gateway da Internet com base na configuração da tabela de rotas.
-
O tráfego é reencaminhado à Internet.
Tipos de endereço IP
Os provedores de serviços podem disponibilizar os endpoints para consumidores de serviços por IPv4, IPv6 ou ambos, mesmo que os dispositivos de segurança ofereçam suporte apenas a IPv4. Se você habilitar o suporte dualstack, os consumidores existentes poderão continuar usando o IPv4 para acessar seu serviço, e os novos consumidores poderão optar por usar o IPv6 para acessar o serviço.
Se um endpoint de Gateway Load Balancer for compatível com IPv4, as interfaces de rede do endpoint terão endereços IPv4. Se um endpoint de Gateway Load Balancer for compatível com IPv6, as interfaces de rede do endpoint terão endereços IPv6. Não é possível acessar o endereço IPv6 de uma interface de rede de endpoint pela Internet. Se você descrever uma interface de rede de endpoint com um endereço IPv6, observe que denyAllIgwTraffic
está habilitado.
Requisitos para habilitar IPv6 para um serviço de endpoint
-
A VPC e as sub-redes do serviço de endpoint devem conter blocos CIDR IPv6 associados.
-
Os Gateway Load Balancers do serviço de endpoint devem usar o tipo de endereço IP dualstack. Os dispositivos de segurança não precisam ser compatíveis com tráfego IPv6.
Requisitos para habilitar o IPv6 para um endpoint do Gateway Load Balancer
-
O serviço de endpoint deve ter um tipo de endereço IP que inclua suporte a IPv6.
-
O tipo de endereço IP de um Gateway Load Balancer deve ser compatível com as sub-redes do endpoint do Gateway Load Balancer, conforme descrito aqui:
-
IPv4: atribua endereços IPv4 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas tiverem intervalos de endereços IPv4.
-
IPv6: atribua endereços IPv6 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas forem sub-redes IPv6 apenas.
-
Dualstack: atribua endereços IPv4 e IPv6 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas tiverem intervalos de endereços IPv4 e IPv6.
-
-
As tabelas de rotas para as sub-redes na VPC do consumidor de serviços devem rotear o tráfego IPv6 e as ACLs de rede para essas sub-redes devem permitir tráfego IPv6.
Roteamento
Para encaminhar o tráfego ao serviço de endpoint, especifique o endpoint do Gateway Load Balancer como destino nas tabelas de rotas usando o ID. No diagrama acima, adicione rotas às tabelas de rotas da seguinte forma. Observe que as rotas IPv6 estão incluídas em uma configuração dualstack.
Tabela de rotas para o gateway da Internet
A tabela de rotas deve conter uma rota que envie o tráfego destinado aos servidores de aplicações ao endpoint do Gateway Load Balancer.
Destination (Destino) | Destino |
---|---|
CIDR IPv4 da VPC |
Local |
CIDR IPv6 da VPC |
Local |
CIDR IPv4 da sub-rede do aplicativo |
vpc-endpoint-id |
CIDR IPv6 da sub-rede do aplicativo |
vpc-endpoint-id |
Tabela de rotas para a sub-rede com os servidores de aplicações
A tabela de rotas deve conter uma rota que envie todo o tráfego dos servidores de aplicações ao endpoint do Gateway Load Balancer.
Destination (Destino) | Destino |
---|---|
CIDR IPv4 da VPC |
Local |
CIDR IPv6 da VPC |
Local |
0.0.0.0/0 | vpc-endpoint-id |
::/0 | vpc-endpoint-id |
Tabela de rotas para a sub-rede com o endpoint do Gateway Load Balancer
Essa tabela de rotas deverá enviar o tráfego que é retornado da inspeção ao destino final. Para o tráfego proveniente da Internet, a rota local enviará o tráfego aos servidores de aplicações. Para o tráfego proveniente dos servidores de aplicações, adicione uma rota que envie todo o tráfego ao gateway da Internet.
Destination (Destino) | Destino |
---|---|
CIDR IPv4 da VPC |
Local |
CIDR IPv6 da VPC |
Local |
0.0.0.0/0 | internet-gateway-id |
::/0 | internet-gateway-id |