Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Puede utilizar un punto de enlace del balanceador de carga de gateway para distribuir tráfico a una flota de dispositivos virtuales de red. Los dispositivos se pueden utilizar para inspecciones de seguridad, cumplimiento, controles de políticas y otros servicios de red. El equilibrador de carga de puerta de enlace se especifica cuando se crea un servicio de punto de conexión de VPC. Otras entidades principales de AWS acceden al servicio de punto de conexión mediante la creación de un punto de conexión del equilibrador de carga de puerta de enlace.
Precios
Se le facturará por cada hora de aprovisionamiento del punto de conexión del equilibrador de carga de la puerta de enlace en cada zona de disponibilidad. También se le factura por GB de datos procesados. Para obtener más información, consulte AWS PrivateLink Precios
Contenido
Para obtener más información, consulte Balanceadores de carga de puerta de enlace.
Descripción general
El siguiente diagrama muestra cómo los servidores de aplicaciones acceden a los dispositivos de seguridad a través de ellos AWS PrivateLink. Los servidores de aplicaciones se ejecutan en una subred de la VPC del consumidor del servicio. Crea un punto de conexión del equilibrador de carga de puerta de enlace en otra subred de la misma VPC. Todo el tráfico que ingresa a la VPC del consumidor del servicio a través de la puerta de enlace de Internet se dirige primero al punto de conexión del equilibrador de carga de puerta de enlace para su inspección y, luego, se dirige a la subred de destino. Del mismo modo, todo el tráfico que sale de los servidores de aplicaciones se dirige al punto de conexión del equilibrador de carga de puerta de enlace para su inspección antes de que se dirija nuevamente a través de la puerta de enlace de Internet.
Tráfico de Internet a los servidores de aplicaciones (flechas azules):
-
El tráfico ingresa a la VPC del consumidor del servicio a través de la puerta de enlace de Internet.
-
El tráfico se envía al punto de conexión del equilibrador de carga de la puerta de enlace, en función de la configuración de la tabla de enrutamiento.
-
El tráfico se envía al equilibrador de carga de la puerta de enlace para su inspección a través del dispositivo de seguridad.
-
El tráfico se envía nuevamente al punto de conexión del equilibrador de carga de la puerta de enlace después de la inspección.
-
El tráfico se envía a los servidores de aplicaciones, en función de la configuración de la tabla de enrutamiento.
Tráfico de los servidores de aplicaciones a Internet (flechas naranjas):
-
El tráfico se envía al punto de conexión del equilibrador de carga de la puerta de enlace, en función de la configuración de la tabla de enrutamiento.
-
El tráfico se envía al equilibrador de carga de la puerta de enlace para su inspección a través del dispositivo de seguridad.
-
El tráfico se envía nuevamente al punto de conexión del equilibrador de carga de la puerta de enlace después de la inspección.
-
El tráfico se envía a la puerta de enlace de Internet en función de la configuración de la tabla de enrutamiento.
-
El tráfico se dirige nuevamente a Internet.
Tipos de direcciones IP
Los proveedores de servicios pueden poner sus terminales de servicio a disposición de los consumidores de servicios a través IPv4 de los dispositivos de seguridad o de ambos IPv4 IPv6, incluso si sus dispositivos de seguridad solo IPv4 son compatibles con ellos. IPv6 Si habilita el soporte de doble pila, los consumidores actuales pueden seguir utilizándolo para acceder IPv4 a su servicio y los nuevos consumidores pueden optar por utilizarlo para acceder IPv6 a su servicio.
Si un punto final del Gateway Load Balancer lo admite IPv4, las interfaces de red del punto final tienen IPv4 direcciones. Si un punto final del Gateway Load Balancer lo admite IPv6, las interfaces de red del punto final tienen IPv6 direcciones. No se puede acceder a la IPv6 dirección de la interfaz de red de un punto final desde Internet. Si describe una interfaz de red de punto final con una IPv6 dirección, observe que denyAllIgwTraffic está habilitada.
Requisitos IPv6 para habilitar un servicio de punto final
-
La VPC y las subredes del servicio de punto final deben tener bloques CIDR asociados IPv6 .
-
El equilibrador de carga de puerta de enlace del servicio de punto de conexión debe utilizar el tipo de dirección IP de doble pila. No es necesario que los dispositivos de seguridad admitan el tráfico. IPv6
Requisitos IPv6 para habilitar un punto final de Gateway Load Balancer
-
El servicio de punto final debe tener un tipo de dirección IP que incluya IPv6 soporte.
-
El tipo de dirección IP de un punto de conexión de equilibrador de carga de puerta de enlace debe ser compatible con la subred del punto de conexión de equilibrador de carga de puerta de enlace, como se describe a continuación:
-
IPv4— Asigne IPv4 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de IPv4 direcciones.
-
IPv6— Asigne IPv6 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas son IPv6 solo subredes.
-
Dualstack: IPv4 asigne ambas IPv6 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen ambos IPv4 rangos de direcciones. IPv6
-
-
Las tablas de enrutamiento de las subredes de la VPC consumidora de servicios deben IPv6 enrutar el tráfico y la ACLs red de estas subredes debe permitir el tráfico. IPv6
Enrutamiento
Para dirigir el tráfico al servicio de punto de conexión, especifique el punto de conexión del equilibrador de carga de la puerta de enlace como destino en las tablas de enrutamiento, con el ID. En el diagrama anterior, agregue rutas a las tablas de enrutamiento de la siguiente manera. Tenga en cuenta que IPv6 las rutas se incluyen para una configuración de doble pila.
Tabla de enrutamiento para la puerta de enlace de Internet
Esta tabla de enrutamiento debe tener una ruta que envíe el tráfico destinado a los servidores de aplicaciones al punto de conexión del equilibrador de carga de la puerta de enlace.
| Destino | Objetivo |
|---|---|
VPC IPv4 CIDR |
Local |
VPC IPv6 CIDR |
Local |
Application subnet IPv4 CIDR |
vpc-endpoint-id |
Application subnet IPv6 CIDR |
vpc-endpoint-id |
Tabla de enrutamiento para la subred con los servidores de aplicaciones
Esta tabla de enrutamiento debe tener una ruta que envíe todo el tráfico desde los servidores de aplicaciones al punto de conexión del equilibrador de carga de la puerta de enlace.
| Destino | Objetivo |
|---|---|
VPC IPv4 CIDR |
Local |
VPC IPv6 CIDR |
Local |
| 0.0.0.0/0 | vpc-endpoint-id |
| ::/0 | vpc-endpoint-id |
Tabla de enrutamiento para la subred con el punto de conexión del equilibrador de carga de la puerta de enlace
Esta tabla de enrutamiento debe enviar el tráfico que se devuelve de la inspección a su destino final. En el caso del tráfico que proviene de Internet, la ruta local envía el tráfico a los servidores de aplicaciones. Para el tráfico que proviene de los servidores de aplicaciones, agregue una ruta que dirija todo el tráfico a la puerta de enlace de Internet.
| Destino | Objetivo |
|---|---|
VPC IPv4 CIDR |
Local |
VPC IPv6 CIDR |
Local |
| 0.0.0.0/0 | internet-gateway-id |
| ::/0 | internet-gateway-id |
