用戶端 IP 位址保留的最佳作法 - AWS Global Accelerator

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

用戶端 IP 位址保留的最佳作法

當您在 AWS Global Accelerator 中使用用戶端 IP 位址保留時,請記住本節中針對彈性網路介面和安全群組的資訊和最佳實務。

為了支援用戶端 IP 位址保留,全球加速器會在您的 AWS 帳戶中建立彈性網路介面,每個有端點的子網路都有一個。彈性網路界面是代表虛擬網路卡之 VPC 中的邏輯網路元件。全域加速器會使用這些彈性網路介面,將流量路由傳送至加速器後方設定的端點。用於以這種方式路由流量的支援端點為應用程式負載平衡器 (內部和網際網路面向) 和 Amazon EC2 執行個體。

注意

當您在全域加速器中新增內部 Application Load Balancer 或 EC2 執行個體端點時,可以透過將網際網路流量鎖定在私有子網路中,讓網際網路流量直接進出虛擬私有雲 (VPC) 中的端點。如需詳細資訊,請參閱 AWS Global Accelerator 中的安全 VPC 連線

全域加速器如何使用彈性網路介面

當您啟用用戶端 IP 位址保留的 Application Load Balancer 時,負載平衡器所在的子網路數目會決定全域加速器在您的帳戶中建立的彈性網路介面數目。全域加速器為每個子網路建立一個 elastic network interface,該子網路中至少有一個 Application Load Balancer elastic network interface,該介面由您帳戶中的加速器開始。

下列範例說明其如何運作:

  • 範例 1:如果 Application Load Balancer 在子網路 A 和子網路 B 中具有彈性網路介面,然後將負載平衡器新增為加速器端點,則全域加速器會在每個子網路中建立兩個彈性網路介面。

  • 範例 2:例如,如果您將子網路 A 和子網路 B 中具有彈性網路介面的 ALB1 新增至加速器 1,然後在子網路 A 中新增含彈性網路介面的 ALB2,子網路 B 新增至加速器 2,則全域加速器只會建立兩個彈性網路介面:一個位於子網路介面,一個位於子網路介面,一個位於子網路介面,一個位於子網路 A,一個位於子網路 A,一個位於子網路中,另一個位於

  • 範例 3:如果您將子網路和子網路中具有彈性網路介面的 ALB1 新增至加速器 1,然後在子網路 A 中新增含彈性網路介面的 ALB2,將子網路介面新增至加速器 2,全域加速器會建立三個彈性網路介面:一個在子網路介面,一個在子網路介面,一個在子網路中,一個在子網路中,一個在子網路,一個在子網路中,一個在子網路中,一個在子網路中,一個在子網路 子 NetA 中的 elastic network interface 可同時提供加速器 1 和加速器 2 的流量。

如範例 3 所示,如果相同子網路中的端點位於多個加速器後方,則彈性網路介面會在加速器間重複使用。

全域加速器建立的邏輯彈性網路介面不代表單一主機、輸送量瓶頸或單一失敗點。就像在可用區域或子網路中顯示為單一 elastic network interface 的其他 AWS 服務一樣 — 像是網路位址轉譯 (NAT) 閘道或網路負載平衡器等服務 — 全球加速器實作為水平擴展、高可用性的服務。

評估加速器中端點所使用的子網路數目,以判斷全域加速器將建立的彈性網路介面數目。建立加速器之前,請確定您有足夠的 IP 位址空間容量可用於所需的彈性網路介面,每個相關子網路至少有一個可用的 IP 位址。如果您沒有足夠的可用 IP 位址空間,則必須建立或使用具有足夠可用 IP 位址空間供應 Application Load Balancer 和相關聯的全域加速器彈性網路介面使用的子網路。

當全域加速器判斷您帳戶中加速器中的任何端點未使用 elastic network interface 時,全域加速器會刪除該介面。

全域加速器建立的安全性群組

使用全域加速器和安全性群組時,請檢閱下列資訊和最佳作法。

  • 全域加速器會建立與其彈性網路界面相關聯的安全性群組。雖然系統不會阻止您這麼做,但您不應該編輯這些群組的任何安全性群組設定。

  • 全域加速器不會刪除它所建立的安全性群組。不過,如果您帳戶中加速器中的任何端點未使用 elastic network interface,則全域加速器會刪除該介面。

  • 您可以使用全域加速器建立的安全性群組作為您維護的其他安全性群組中的來源群組,但全域加速器只會將流量轉送至您在 VPC 中指定的目標。

  • 如果您修改全域加速器所建立的安全群組規則,端點可能會變得狀況不良。如果發生此情況,請聯絡AWS Support尋求協助。

  • 全域加速器會為每個 VPC 建立特定的安全性群組。針對特定 VPC 內端點建立的 elastic network interface,無論彈性網路介面與哪個子網路相關聯,都會使用相同的安全群組。