Requisitos para los puntos de conexión con conservación de la dirección IP del cliente - AWS Global Accelerator

Requisitos para los puntos de conexión con conservación de la dirección IP del cliente

Existen requisitos específicos para los tipos de puntos de conexión que se pueden utilizar para conservar las direcciones IP de los clientes. >Puede utilizar esta característica con puntos de conexión que sean equilibradores de carga de aplicaciones, equilibradores de carga de red con grupos de seguridad e instancias de Amazon EC2, sujeto a los requisitos adicionales que se describen en esta sección. Los puntos de conexión de los aceleradores de enrutamiento personalizados siempre conservan la dirección IP del cliente.

En esta sección se proporciona información específica sobre los puntos de conexión que desee agregar con la conservación de la dirección IP del cliente habilitada. Para obtener más información acerca de los requisitos de los puntos de conexión, consulte Requisitos de los recursos que agregue como puntos de conexión del acelerador.

Además, para obtener más información sobre las prácticas recomendadas para la conservación de las direcciones IP de los clientes, consulte Prácticas recomendadas para las ENI y los grupos de seguridad que preservan las direcciones IP de los clientes.

Si piensa utilizar la característica de conservación de direcciones IP del cliente, tenga en cuenta lo siguiente cuando agregue puntos de conexión a Global Accelerator, además de los requisitos generales de los puntos de conexión de Global Accelerator.

Direcciones IP elásticas

Los puntos de conexión de direcciones IP elásticas no admiten la conservación de la dirección IP del cliente en Global Accelerator.

Puntos de conexión del equilibrador de carga de red

Si desea habilitar la conservación de la dirección IP del cliente al agregar recursos de equilibrador de carga de red como puntos de conexión a Global Accelerator, tenga en cuenta que la conservación de la dirección IP del cliente no se admite para lo siguiente:

  • Equilibradores de carga de red sin grupos de seguridad

  • Equilibradores de carga de red con grupos de seguridad que tienen oyentes de TLS conectados

  • Equilibradores de carga de red con grupos de seguridad que realizan la traducción de NAT de IPv4 a IPv6 a sus destinos de EC2

Además, en el caso de los equilibradores de carga de redes, la conservación de direcciones IP del cliente solo se admite cuando los destinos se encuentran en la misma VPC que el equilibrador de carga de red. El tráfico debe fluir directamente desde el equilibrador de carga de red al destino.

Interfaces de red elásticas

Para permitir la conservación de las direcciones IP de los clientes, Global Accelerator crea interfaces de red elásticas en su cuenta de AWS, una para cada subred en la que haya un punto de conexión. Para obtener más información acerca de cómo funciona Global Accelerator con interfaces de red elásticas, consulte Prácticas recomendadas para las ENI y los grupos de seguridad que preservan las direcciones IP de los clientes.

Puntos de conexión en subredes privadas

Puede dirigirse a una instancia de equilibrador de carga de aplicación, equilibrador de carga de red o EC2 de una subred privada mediante Global Accelerator, pero debe tener una puerta de enlace de Internet conectada a la VPC que contenga los puntos de conexión. Para obtener más información, consulte Proteger las conexiones de VPC en AWS Global Accelerator.

Como práctica recomendada, utilice subredes privadas si quiere asegurarse de que el tráfico lo entregue solo Global Accelerator. Además, asegúrese de que las reglas de los grupos de seguridad entrantes estén configuradas adecuadamente para permitir o denegar correctamente el tráfico de sus aplicaciones.

Agregue la dirección IP del cliente a la lista de permitidos

Antes de agregar y comenzar a enrutar el tráfico a los puntos de conexión que conservan la dirección IP del cliente, asegúrese de que todas las configuraciones de seguridad necesarias, por ejemplo, los grupos de seguridad, estén actualizadas para incluir la dirección IP del cliente del usuario en la lista de permitidos. Las listas de control de acceso (ACL) de red solo se aplican al tráfico de salida (saliente). Si necesita filtrar el tráfico de entrada (entrante), debe usar grupos de seguridad.

Configurar listas de control de acceso (ACL) de red

Las ACL de red asociadas a las subredes de la VPC se aplican al tráfico de salida (saliente) cuando la conservación de la dirección IP del cliente está habilitada en el acelerador. Sin embargo, para permitir que el tráfico salga a través de Global Accelerator, debe configurar la ACL como una regla tanto de entrada como de salida.

Por ejemplo, para permitir que los clientes TCP y UDP que utilizan un puerto de origen efímero se conecten a su punto de conexión a través de Global Accelerator, asocie la subred del punto de conexión a una ACL de red que permita el tráfico saliente destinado a un puerto TCP o UDP efímero (rango de puertos 1024-65535, destino 0.0.0.0/0). Además, cree una regla de entrada coincidente (rango de puertos 1024-65535, fuente 0.0.0.0/0).

Tenga en cuenta lo siguiente en lo que respecta a los grupos de seguridad y WAF:

  • El grupo de seguridad y las reglas de AWS WAF son un conjunto adicional de capacidades que puede aplicar para proteger sus recursos. Por ejemplo, las reglas de grupos de seguridad entrantes asociadas a sus instancias de Amazon EC2 y a los equilibradores de carga de aplicaciones le permiten controlar los puertos de destino a los que los clientes se pueden conectar a través de Global Accelerator, como el puerto 80 para HTTP o el puerto 443 para HTTPS.

  • Los grupos de seguridad de instancias de Amazon EC2 se aplican a cualquier tráfico que llegue a sus instancias, incluido el tráfico de Global Accelerator y cualquier dirección IP pública o elástica que esté asignada a su instancia.