客户端 IP 地址保留的最佳实践

在 AWS Global Accelerator 中使用客户端 IP 地址保留时，请记住本节中有关弹性网络接口和安全组的信息和最佳实践。

为支持客户端 IP 地址保留，全球加速器在您的 AWS 账户中创建弹性网络接口 — 每个存在终端节点的子网一个。弹性网络接口 是 VPC 中表示虚拟网卡的逻辑网络组件。全局加速器使用这些弹性网络接口将流量路由到加速器后面配置的端点。支持以这种方式路由流量的终端节点是应用程序负载均衡器（内部和面向互联网的）和 Amazon EC2 实例。

注意

在全球加速器中添加内部 Application Load Balancer 器或 EC2 实例终端节点时，您可以通过将互联网流量定位在私有子网中，从而使互联网流量直接流入和流出虚拟私有云 (VPC) 中的终端节点。有关更多信息，请参阅 AWS Global Accelerator 中的 VPC 连接安全。

全局加速器如何使用弹性网络接口

如果启用了客户端 IP 地址保留的应用 Application Load Balancer 器，则负载均衡器所在的子网数量决定了全局加速器在您的帐户中创建的弹性网络接口的数量。全局加速器为每个子网创建一个 elastic network interface，该子网中至少有一个 Application Load Balancer 器的 elastic network interface，该接口由您账户中的加速器前面。

以下示例说明了它的工作原理：

• 示例 1：如果应用程序负载均衡器在子网 A 和子网 B 中具有弹性网络接口，然后将负载均衡器添加为加速器终端节点，则全局加速器会创建两个弹性网络接口，每个子网中一个。

• 示例 2：例如，如果将子网 A 和子网 B 中具有弹性网络接口的 ALB1 添加到加速器 1，然后在子网 A 和子网 B 中添加具有弹性网络接口的 ALB2 到加速器 2，则全局加速器只创建两个弹性网络接口：一个在子网 A 中，一个在子网 B 中。

• 示例 3：如果将子网 A 和子网 B 中具有弹性网络接口的 ALB1 添加到加速器 1，然后将具有子网 A 和子网 C 中弹性网络接口的 ALB2 添加到加速器 2，全局加速器将创建三个弹性网络接口：一个在子网 A，一个在子网 B 中，一个，一个在子网络接口，一个在子网络。子 NetA 中的 elastic network interface 为加速器 1 和加速器 2 提供通信。

如示例 3 所示，如果同一子网中的端点位于多个加速器后面，则弹性网络接口将在加速器之间重复使用。

全局加速器创建的逻辑弹性网络接口不代表单个主机、吞吐量瓶颈或单点故障。与在可用区或子网中显示为单个 elastic network interface 的其他 AWS 服务（如网络地址转换 (NAT) 网关或网络负载均衡器）一样，全球加速器是作为水平扩展、高可用性的服务实现的。

评估加速器中端点使用的子网数量，以确定全局加速器将创建的弹性网络接口的数量。在创建加速器之前，请确保您有足够的 IP 地址空间容量用于所需的弹性网络接口，每个相关子网至少有一个可用 IP 地址。如果没有足够的可用 IP 地址空间，则必须创建或使用具有足够可用 IP 地址空间的子网，用于应用 Application Load Balancer 器和关联的全局加速器弹性网络接口。

当全局加速器确定您帐户中加速器中的任何终端节点未使用 elastic network interface 时，全局加速器将删除该接口。

由全局加速器创建的安全组

使用全局加速器和安全组时，请查看以下信息和最佳做法。

• 全局加速器创建与其弹性网络接口关联的安全组。尽管系统不会阻止您执行此操作，但您不应编辑这些组的任何安全组设置。

• 全局加速器不会删除它创建的安全组。但是，如果您帐户中的加速器中的任何终端节点没有使用 elastic network interface，则全局加速器会删除该接口。

• 您可以将全局加速器创建的安全组用作您维护的其他安全组中的源组，但全局加速器仅将流量转发到您在 VPC 中指定的目标。

• 如果修改全局加速器创建的安全组规则，则终端节点可能会变得不正常。如果发生这种情况，请联系AWS Support以获取帮助。

• 全局加速器为每个 VPC 创建一个特定的安全组。无论 elastic network interface 与哪个子网关联，为特定 VPC 中的终端节点创建的弹性网络接口都使用相同的安全组。