Acceda a los dispositivos virtuales a través de AWS PrivateLink - Amazon Virtual Private Cloud
Información generalTipos de direcciones IPEnrutamiento

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceda a los dispositivos virtuales a través de AWS PrivateLink

Puede utilizar un punto de enlace del balanceador de carga de gateway para distribuir tráfico a una flota de dispositivos virtuales de red. Los dispositivos se pueden utilizar para inspecciones de seguridad, cumplimiento, controles de políticas y otros servicios de red. El Load Balancer de puertas de enlace se especifica al crear un servicio de VPC punto final. Otras entidades principales de AWS acceden al servicio de punto de conexión mediante la creación de un punto de conexión del equilibrador de carga de puerta de enlace.

Precios

Se le facturará por cada hora que se aprovisione su punto final de Gateway Load Balancer en cada zona de disponibilidad. También se le factura por GB de datos procesados. Para obtener más información, consulte AWS PrivateLink Precios.

Contenido

Para obtener más información, consulte Balanceadores de carga de puerta de enlace.

Información general

El siguiente diagrama muestra cómo los servidores de aplicaciones acceden a los dispositivos de seguridad a través AWS PrivateLink de ellos. Los servidores de aplicaciones se ejecutan en una subred del consumidor VPC del servicio. Cree un punto final de Gateway Load Balancer en otra subred de la misma. VPC Todo el tráfico que entra al consumidor del servicio VPC a través de la puerta de enlace de Internet se enruta primero al punto final del Gateway Load Balancer para su inspección y, a continuación, se dirige a la subred de destino. Del mismo modo, todo el tráfico que sale de los servidores de aplicaciones se dirige al punto de conexión del equilibrador de carga de puerta de enlace para su inspección antes de que se dirija nuevamente a través de la puerta de enlace de Internet.

Uso de un punto de conexión del equilibrador de carga de puerta de enlace para acceder a dispositivos de seguridad.
Tráfico de Internet a los servidores de aplicaciones (flechas azules):

  1. El tráfico ingresa al consumidor del servicio a VPC través de la pasarela de Internet.

  2. El tráfico se envía al punto de conexión del equilibrador de carga de la puerta de enlace, en función de la configuración de la tabla de enrutamiento.

  3. El tráfico se envía al equilibrador de carga de la puerta de enlace para su inspección a través del dispositivo de seguridad.

  4. El tráfico se envía nuevamente al punto de conexión del equilibrador de carga de la puerta de enlace después de la inspección.

  5. El tráfico se envía a los servidores de aplicaciones, en función de la configuración de la tabla de enrutamiento.

Tráfico de los servidores de aplicaciones a Internet (flechas naranjas):

  1. El tráfico se envía al punto de conexión del equilibrador de carga de la puerta de enlace, en función de la configuración de la tabla de enrutamiento.

  2. El tráfico se envía al equilibrador de carga de la puerta de enlace para su inspección a través del dispositivo de seguridad.

  3. El tráfico se envía nuevamente al punto de conexión del equilibrador de carga de la puerta de enlace después de la inspección.

  4. El tráfico se envía a la puerta de enlace de Internet en función de la configuración de la tabla de enrutamiento.

  5. El tráfico se dirige nuevamente a Internet.

Tipos de direcciones IP

Los proveedores de servicios pueden poner sus terminales de servicio a disposición de los consumidores de servicios a través IPv4 de ellos o de ambas IPv4 formasIPv6, incluso si sus dispositivos de seguridad solo IPv4 lo admiten. IPv6 Si habilita el soporte de doble pila, los consumidores actuales pueden seguir utilizándolo para acceder IPv4 a su servicio y los nuevos consumidores pueden optar por utilizarlo para acceder IPv6 a su servicio.

Si un punto final del Gateway Load Balancer lo admiteIPv4, las interfaces de red del punto final tienen IPv4 direcciones. Si un punto final del Gateway Load Balancer lo admiteIPv6, las interfaces de red del punto final tienen IPv6 direcciones. No se puede acceder a la IPv6 dirección de la interfaz de red de un punto final desde Internet. Si describe una interfaz de red de punto final con una IPv6 dirección, observe que denyAllIgwTraffic está habilitada.

Requisitos IPv6 para habilitar un servicio de punto final

  • Las subredes VPC y del servicio de puntos finales deben tener IPv6 CIDR bloques asociados.

  • El equilibrador de carga de puerta de enlace del servicio de punto de conexión debe utilizar el tipo de dirección IP de doble pila. No es necesario que los dispositivos de seguridad admitan el IPv6 tráfico.

Requisitos IPv6 para habilitar un punto final de Gateway Load Balancer

  • El servicio de punto final debe tener un tipo de dirección IP que incluya IPv6 soporte.

  • El tipo de dirección IP de un punto de conexión de equilibrador de carga de puerta de enlace debe ser compatible con la subred del punto de conexión de equilibrador de carga de puerta de enlace, como se describe a continuación:

    • IPv4— Asigne IPv4 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de IPv4 direcciones.

    • IPv6— Asigne IPv6 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas son IPv6 solo subredes.

    • Dualstack: IPv4 asigne ambas IPv6 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen ambos IPv4 rangos de direcciones. IPv6

  • Las tablas de enrutamiento de las subredes del consumidor de servicios VPC deben enrutar el IPv6 tráfico y la red ACLs de estas subredes debe permitir el tráfico. IPv6

Enrutamiento

Para dirigir el tráfico al servicio de punto de conexión, especifique el punto de conexión del equilibrador de carga de la puerta de enlace como destino en las tablas de enrutamiento, con el ID. En el diagrama anterior, agregue rutas a las tablas de enrutamiento de la siguiente manera. Tenga en cuenta que IPv6 las rutas se incluyen para una configuración de doble pila.

Tabla de enrutamiento para la puerta de enlace de Internet

Esta tabla de enrutamiento debe tener una ruta que envíe el tráfico destinado a los servidores de aplicaciones al punto de conexión del equilibrador de carga de la puerta de enlace.

Destino Objetivo
VPC IPv4 CIDR Local
VPC IPv6 CIDR Local
Application subnet IPv4 CIDR vpc-endpoint-id
Application subnet IPv6 CIDR vpc-endpoint-id
Tabla de enrutamiento para la subred con los servidores de aplicaciones

Esta tabla de enrutamiento debe tener una ruta que envíe todo el tráfico desde los servidores de aplicaciones al punto de conexión del equilibrador de carga de la puerta de enlace.

Destino Objetivo
VPC IPv4 CIDR Local
VPC IPv6 CIDR Local
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id
Tabla de enrutamiento para la subred con el punto de conexión del equilibrador de carga de la puerta de enlace

Esta tabla de enrutamiento debe enviar el tráfico que se devuelve de la inspección a su destino final. En el caso del tráfico que proviene de Internet, la ruta local envía el tráfico a los servidores de aplicaciones. Para el tráfico que proviene de los servidores de aplicaciones, agregue una ruta que dirija todo el tráfico a la puerta de enlace de Internet.

Destino Objetivo
VPC IPv4 CIDR Local
VPC IPv6 CIDR Local
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id