AWS Global Accelerator 中的安全 VPC 連線

當您在 AWS Global Accelerator 中新增內部 Application Load Balancer 或 Amazon EC2 執行個體終端節點時，您可以將網際網路流量定位在私有子網路中，以便直接進出虛擬私有雲 (VPC) 的終端節點。包含負載平衡器或 EC2 執行個體的 VPC 必須具備網際網路閘道連接到它，以表明 VPC 接受互聯網流量。但是，您不需要負載平衡器或 EC2 執行個體上的公用 IP 位址。您也不需要子網路相關聯的網際網路閘道路由。

這與典型的網際網路閘道使用案例不同，在這種情況下，網際網路流量需要公用 IP 位址和網際網路閘道路由，才能流向 VPC 中的執行個體或負載平衡器。即使目標的彈性網路介面存在於公用子網路 (也就是具有網際網路閘道路由的子網路)，當您針對網際網路流量使用全域加速器時，全域加速器會覆寫一般的網際網路路由，以及透過全域加速器也會透過全域加速器傳回，而非透過網際網路閘道傳回。

注意

對 Amazon EC2 執行個體使用公有 IP 地址和使用公有子網路並不典型，但可以使用這些執行個體設定您的組態。安全群組適用於到達執行個體的任何流量，包括來自全域加速器的流量，以及指派給執行個體 ENI 的任何公用或彈性 IP 位址。使用私人子網路，確保流量僅由全域加速器傳遞。

考慮網路周邊問題並設定與網際網路存取管理相關的 IAM 權限時，請記住此資訊。如需控制 VPC 的網際網路存取的詳細資訊，請參閱此服務控制政策範例。