Prácticas recomendadas para las ENI y los grupos de seguridad que preservan las direcciones IP de los clientes - AWS Global Accelerator

Prácticas recomendadas para las ENI y los grupos de seguridad que preservan las direcciones IP de los clientes

Cuando utilice la conservación de direcciones IP de clientes en AWS Global Accelerator, tenga en cuenta la información y las prácticas recomendadas de esta sección para las interfaces de red elásticas (ENI) y los grupos de seguridad.

Para permitir la conservación de las direcciones IP de los clientes, Global Accelerator crea interfaces de red elásticas en su cuenta de AWS, una para cada subred en la que haya un punto de conexión. Una interfaz de red elástica es un componente de red lógico en una VPC que representa una tarjeta de red virtual. Global Accelerator utiliza estas interfaces de red elásticas para enrutar el tráfico a los puntos de conexión configurados detrás de un acelerador. Los puntos de conexión compatibles para enrutar el tráfico de esta manera son los equilibradores de carga de aplicaciones (internos y con acceso a Internet), los equilibradores de carga de red con grupos de seguridad y las instancias de Amazon EC2.

nota

Cuando agrega un equilibrador de carga de aplicación interno o un punto de conexión de instancia EC2 en Global Accelerator, permite que el tráfico de Internet fluya directamente hacia y desde el punto de conexión en nubes virtuales privadas (VPC) dirigiéndose a él en una subred privada. Para obtener más información, consulte Proteger las conexiones de VPC en AWS Global Accelerator.

Cómo utiliza Global Accelerator las interfaces de red elásticas

Si tiene un punto de conexión equilibrador de carga de aplicación o equilibrador de carga de red con la conservación de direcciones IP del cliente habilitada, la cantidad de subredes en las que se encuentra el equilibrador de carga determina la cantidad de interfaces de red elásticas que Global Accelerator crea en su cuenta. Global Accelerator crea una interfaz de red elástica para cada subred que contenga al menos una interfaz de red elástica del equilibrador de carga de aplicación o del equilibrador de carga de red, dirigida por un acelerador de su cuenta.

Los siguientes ejemplos ilustran cómo funciona:

  • Ejemplo 1: Si un equilibrador de carga de aplicación tiene interfaces de red elásticas en la subred A y la subred B y, a continuación, agrega el equilibrador de carga como punto de conexión del acelerador, Global Accelerator crea dos interfaces de red elásticas, una en cada subred.

  • Ejemplo 2: Si agrega, por ejemplo, un ALB1 que tiene interfaces de red elásticas en la subred A y la subred B a Accelerator1 y, a continuación, agrega un ALB2 con interfaces de red elásticas en la subred A y la subred B a Accelerator2, Global Accelerator crea solo dos interfaces de red elásticas: una en la subred y otra en la subred B.

  • Ejemplo 3: Si agrega un ALB1 que tiene interfaces de red elásticas en la subred y la subredB a Accelerator1 y, a continuación, agrega un ALB2 con interfaces de red elásticas en la subredA y la subredC al acelerador2, Global Accelerator crea tres interfaces de red elásticas: una en la subredA, otra en la subredB y otra en la subredC. La interfaz de red elástica en la subredA proporciona tráfico tanto para acelerador1 como para acelerador2.

Como se muestra en el ejemplo 3, las interfaces de red elásticas se reutilizan en todos los aceleradores si los puntos de conexión de la misma subred se colocan detrás de varios aceleradores.

Las interfaces de red elásticas lógicas que crea Global Accelerator no representan un único host, un cuello de botella en el rendimiento ni un único punto de fallo. Al igual que otros servicios de AWS que aparecen como una única interfaz de red elástica en una zona de disponibilidad o subred (servicios como una puerta de enlace de traducción de direcciones de red (NAT) o un equilibrador de carga de red, Global Accelerator se implementa como un servicio de alta disponibilidad y de escalado horizontal.

Evalúe la cantidad de subredes que utilizan los puntos de conexión de sus aceleradores para determinar la cantidad de interfaces de red elásticas que creará Global Accelerator. Antes de crear un acelerador, asegúrese de tener suficiente espacio de direcciones IP para las interfaces de red elásticas requeridas: es decir, al menos una dirección IP libre por subred pertinente. Si no tiene suficiente espacio libre de direcciones IP, debe crear o usar una subred que tenga el espacio libre de direcciones IP adecuado para su equilibrador de carga de aplicación o equilibrador de carga de red y las interfaces de red elásticas de Global Accelerator asociadas.

Global Accelerator elimina la interfaz cuando determina que ninguno de los puntos de conexión de los aceleradores de su cuenta utiliza una interfaz de red elástica.

Grupos de seguridad creados por Global Accelerator

Revise la siguiente información y las prácticas recomendadas cuando trabaje con Global Accelerator y grupos de seguridad.

  • Puede usar los grupos de seguridad creados por Global Accelerator como grupo de origen en otros grupos de seguridad que mantenga, pero Global Accelerator solo reenvía el tráfico a los destinos que especifique en su VPC.

  • Si modifica las reglas de los grupos de seguridad creadas por Global Accelerator, es posible que el punto de conexión deje de estar en buen estado. Si eso ocurre, contáctese con Soporte de AWS para obtener ayuda.

  • Global Accelerator crea un grupo de seguridad específico para cada VPC. Todas las interfaces de red elástica que se crean para los puntos de conexión de una VPC específica utilizan el mismo grupo de seguridad, independientemente de la subred a la que esté asociada una interfaz de red elástica.

importante

Global Accelerator crea grupos de seguridad asociados a sus interfaces de red elásticas. Si bien el sistema no le impide hacerlo, no debe editar ninguna de las configuraciones de los grupos de seguridad de estos grupos.