Accesso a un sistema di ispezione utilizzando un endpoint Gateway Load Balancer - Amazon Virtual Private Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso a un sistema di ispezione utilizzando un endpoint Gateway Load Balancer

Puoi creare un endpoint del sistema di bilanciamento del carico del gateway per connetterti ai servizi dell'endpoint basati su AWS PrivateLink.

Per ogni sottorete specificata dal vostroVPC, creiamo un'interfaccia di rete endpoint nella sottorete e le assegniamo un indirizzo IP privato compreso nell'intervallo di indirizzi della sottorete. Un'interfaccia di rete endpoint è un'interfaccia di rete gestita dal richiedente; puoi visualizzarla nel tuo Account AWS, ma non puoi gestirla tu stesso.

Ti viene addebitato l'utilizzo orario e le spese di elaborazione dati. Per ulteriori informazioni, consulta Prezzi dell'endpoint Gateway Load Balancer.

Considerazioni

  • È possibile scegliere una sola zona di disponibilità nel servizio consumer. VPC Non puoi modificare questa sottorete in un secondo momento. Per utilizzare un endpoint Gateway Load Balancer in una sottorete diversa, dovrai creare un nuovo endpoint Gateway Load Balancer.

  • Puoi creare un solo endpoint Gateway Load Balancer per zona di disponibilità per un servizio, selezionando la zona di disponibilità supportata da Gateway Load Balancer. Se il provider di servizi e l'utente si trovano in account diversi, un nome della zona di disponibilità, ad esempio us-east-1a, potrebbe essere mappato a una zona di disponibilità fisica diversa in ciascun Account AWS. Puoi utilizzare AZ IDs per identificare in modo coerente le zone di disponibilità per il tuo servizio. Per ulteriori informazioni, consulta AZ IDs nella Amazon EC2 User Guide.

  • Prima di poter utilizzare il servizio endpoint, il provider di servizi deve accettare le richieste di connessione. Il servizio non può avviare richieste alle risorse del tuo dispositivo VPC tramite l'VPCendpoint. L'endpoint restituisce solo le risposte al traffico avviato dalle risorse del tuo. VPC

  • Ogni endpoint Gateway Load Balancer può supportare una larghezza di banda massima di 10 Gpbs per zona di disponibilità e aumenta automaticamente fino a 100 Gbps.

  • Se un servizio endpoint è associato a più Gateway Load Balancer, per una zona di disponibilità specifica un endpoint Gateway Load Balancer stabilirà una connessione con un solo load balancer.

  • Per mantenere il traffico all'interno della stessa zona di disponibilità, è consigliabile creare un endpoint Gateway Load Balancer in ogni zona di disponibilità a cui verrà inviato il traffico.

  • La conservazione dell'IP del client Network Load Balancer non è supportata quando il traffico viene instradato attraverso un endpoint Gateway Load Balancer, anche se la destinazione è la stessa del Network VPC Load Balancer.

  • Se i server delle applicazioni e l'endpoint Gateway Load Balancer si trovano nella stessa sottorete, NACL le regole vengono valutate per il traffico dai server delle applicazioni all'endpoint Gateway Load Balancer.

  • Le tue risorse sono soggette a quote. AWS PrivateLink Per ulteriori informazioni, consulta AWS PrivateLink quote.

Prerequisiti

  • Crea un consumatore di servizi VPC con almeno due sottoreti nella zona di disponibilità da cui accederai al servizio. Una sottorete è destinata ai server dell'applicazione e l'altra all'endpoint Gateway Load Balancer.

  • Per verificare quali zone di disponibilità sono supportate dal servizio endpoint, descrivi il servizio endpoint utilizzando la console o il comando. describe-vpc-endpoint-services

  • Se le tue risorse si trovano in una sottorete con una reteACL, verifica che la rete ACL consenta il traffico tra le interfacce della rete degli endpoint e le risorse di. VPC

Creare l'endpoint

Utilizza la procedura seguente per creare un endpoint Gateway Load Balancer che si connette al servizio endpoint per il sistema di ispezione.

Per creare un endpoint Gateway Load Balancer utilizzando la console
  1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, seleziona Endpoints (Endpoint).

  3. Seleziona Crea endpoint.

  4. In Service category (Categoria del servizio), scegli Other endpoint services (Altri servizi endpoint).

  5. In Service name (Nome servizio), specifica il nome del servizio, quindi seleziona Verify service (Verifica servizio).

  6. Per VPC, seleziona il VPC dispositivo in cui creare l'endpoint.

  7. In Subnets (Sottoreti), selezionare la sottorete in cui creare l'endpoint.

  8. Per IP address type (Tipo di indirizzo IP), seleziona una delle opzioni seguenti:

    • IPv4— Assegna IPv4 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate hanno intervalli di indirizzi. IPv4

    • IPv6— Assegna IPv6 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate sono solo sottoreti. IPv6

    • Dualstack: assegna entrambi IPv4 gli indirizzi alle interfacce di rete degli endpoint. IPv6 Questa opzione è supportata solo se tutte le sottoreti selezionate hanno entrambi gli intervalli di indirizzi. IPv4 IPv6

  9. (Facoltativo) Per aggiungere un tag, scegliere Add new tag (Aggiungi nuovo tag) e immettere la chiave e il valore del tag.

  10. Seleziona Crea endpoint. Lo stato iniziale è pending acceptance.

Per creare un endpoint Gateway Load Balancer utilizzando la riga di comando

Configurazione del routing

Utilizzare la procedura seguente per configurare le tabelle di routing per il consumatore del servizioVPC. Ciò consente alle appliance di sicurezza di eseguire ispezioni per il traffico in entrata destinato ai server dell'applicazione. Per ulteriori informazioni, consulta Routing.

Per configurare l'instradamento utilizzando la console
  1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, selezionare Route Tables (Tabelle di routing).

  3. Seleziona la tabella di instradamento per il gateway Internet ed esegui le operazioni seguenti:

    1. Selezionare Actions (Operazioni), Edit routes (Modifica route).

    2. Se offri assistenzaIPv4, scegli Aggiungi percorso. In Destinazione, inserisci il IPv4 CIDR blocco della sottorete per i server delle applicazioni. Per Target, seleziona l'VPCendpoint.

    3. Se lo supportiIPv6, scegli Aggiungi percorso. In Destinazione, inserisci il IPv6 CIDR blocco della sottorete per i server delle applicazioni. Per Target, seleziona l'VPCendpoint.

    4. Scegli Save changes (Salva modifiche).

  4. Seleziona la tabella di instradamento per la sottorete con i server dell'applicazione ed esegui le operazioni seguenti:

    1. Selezionare Actions (Operazioni), Edit routes (Modifica route).

    2. Se lo supportiIPv4, scegli Aggiungi percorso. In Destination (Destinazione), immettere 0.0.0.0/0. Per Target, seleziona l'VPCendpoint.

    3. Se lo supportiIPv6, scegli Aggiungi percorso. In Destination (Destinazione), immettere ::/0. Per Target, seleziona l'VPCendpoint.

    4. Scegli Save changes (Salva modifiche).

  5. Seleziona la tabella di instradamento per la sottorete con l'endpoint Gateway Load Balancer ed esegui le operazioni seguenti:

    1. Selezionare Actions (Operazioni), Edit routes (Modifica route).

    2. Se lo supportiIPv4, scegli Aggiungi percorso. In Destination (Destinazione), immettere 0.0.0.0/0. Per Target, seleziona il gateway Internet.

    3. Se supportiIPv6, scegli Aggiungi percorso. In Destination (Destinazione), immettere ::/0. Per Target, seleziona il gateway Internet.

    4. Scegli Save changes (Salva modifiche).

Per configurare l'instradamento utilizzando la riga di comando

Gestione dei tag

Puoi contrassegnare l'endpoint Gateway Load Balancer per identificarlo o classificarlo più facilmente in base alle esigenze dell'organizzazione.

Per gestire i tag utilizzando la console
  1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, seleziona Endpoint.

  3. Seleziona l'endpoint dell'interfaccia.

  4. Scegliere Actions (Operazioni), Manage tags (Gestisci tag).

  5. Per ogni tag da aggiungere, seleziona Add new tag (Aggiungi nuovo tag) e immetti la chiave e il valore per il tag.

  6. Per rimuovere un tag, scegli Remove (Rimuovi) a destra della chiave e del valore del tag.

  7. Seleziona Salva.

Per gestire i tag utilizzando la riga di comando

Eliminazione di un endpoint Gateway Load Balancer

Quando un endpoint non è più necessario, è possibile eliminarlo. L'eliminazione di un endpoint Gateway Load Balancer comporta anche l'eliminazione delle interfacce di rete dell'endpoint. Un endpoint Gateway Load Balancer non può essere eliminato se nelle tabelle di instradamento sono presenti route che puntano all'endpoint.

Per eliminare un endpoint Gateway Load Balancer
  1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegliere Endpoints (Endpoint) e selezionare l'endpoint.

  3. Selezionare Actions (Operazioni), Delete Endpoint (Elimina endpoint).

  4. Nella schermata di conferma, selezionare Yes, Delete (Sì, elimina).

Per eliminare un endpoint Gateway Load Balancer