Requisitos para endpoints com preservação do endereço IP do cliente - AWS Global Accelerator

Requisitos para endpoints com preservação do endereço IP do cliente

Há requisitos específicos para tipos de endpoints que você pode usar com a preservação do endereço IP do cliente. >Você pode usar esse atributo com endpoints que são Application Load Balancers, Network Load Balancers com grupos de segurança e instâncias do Amazon EC2, sujeito aos requisitos adicionais descritos nesta seção. Os endpoints em aceleradores de roteamento personalizados sempre têm o endereço IP do cliente preservado.

Esta seção fornece informações específicas aos endpoints que você deseja adicionar com a preservação do endereço IP do cliente habilitada. Para obter mais informações sobre os requisitos gerais para endpoints, consulte Requisitos para recursos que você adiciona como endpoints do acelerador.

Além disso, para obter mais informações sobre as práticas recomendadas de preservação do endereço IP do cliente, consulte Práticas recomendadas para ENIs e grupos de segurança com preservação do endereço IP do cliente.

Se você pretende usar o atributo de preservação do endereço IP do cliente, esteja ciente do seguinte ao adicionar endpoints ao Global Accelerator, além dos requisitos gerais para endpoints no Global Accelerator.

Endereços IP elásticos

A preservação do endereço IP do cliente não é compatível com endpoints de endereço IP elástico no Global Accelerator.

Endpoints do Network Load Balancer

Se você quiser habilitar a preservação do endereço IP do cliente ao adicionar recursos do Network Load Balancer como endpoints ao Global Accelerator, saiba que a preservação do endereço IP do cliente não é compatível com o seguinte:

  • Network Load Balancer sem grupos de segurança

  • Network Load Balancers com grupos de segurança que têm receptores TLS conectados

  • Network Load Balancers com grupos de segurança que realizam tradução NAT de IPv4 para IPv6 para seus destinos de EC2

Além disso, para Network Load Balancer, a preservação de endereços IP do cliente é compatível somente quando os destinos estão na mesma VPC que o Network Load Balancer. O tráfego deve fluir diretamente do Network Load Balancer para o destino.

Interfaces de rede elástica

Para oferecer compatibilidade com a preservação do endereço IP do cliente, o Global Accelerator cria interfaces de rede elásticas em sua conta da AWS, uma para cada sub-rede em que um endpoint está presente. Para obter mais informações sobre como o Global Accelerator funciona com interfaces de rede elásticas, consulte Práticas recomendadas para ENIs e grupos de segurança com preservação do endereço IP do cliente.

Endpoints em sub-redes privadas

Você pode direcionar um Application Load Balancer, Network Load Balancer ou uma instância do EC2 em uma sub-rede privada usando o Global Accelerator, mas precisa ter um gateway da internet anexado à VPC que contenha os endpoints. Para ter mais informações, consulte Conexões de VPC seguras no AWS Global Accelerator.

Como prática recomendada, use sub-redes privadas se quiser garantir que o tráfego seja entregue somente pelo Global Accelerator. Além disso, certifique-se de que as regras do grupo de segurança de entrada estejam configuradas adequadamente para permitir ou negar tráfego corretamente para seus aplicativos.

Adicionar o endereço IP do cliente à lista de permissões

Antes de adicionar e começar a rotear o tráfego para endpoints que preservam o endereço IP do cliente, certifique-se de que todas as configurações de segurança necessárias, por exemplo, grupos de segurança, estejam atualizadas para incluir o endereço IP do cliente do usuário na lista de permissões. As listas de controle de acesso (ACLs) de rede só se aplicam ao tráfego de saída. Se você precisar filtrar o tráfego de entrada, deverá usar grupos de segurança.

Configurar listas de controle de acesso (ACLs) de rede

As ACLs de rede associadas às suas sub-redes VPC se aplicam ao tráfego de saída quando a preservação do endereço IP do cliente está habilitada em seu acelerador. No entanto, para que o tráfego possa sair pelo Global Accelerator, você deve configurar a ACL como uma regra de entrada e saída.

Por exemplo, para permitir que clientes TCP e UDP que usam uma porta de origem efêmera se conectem ao seu endpoint por meio do Global Accelerator, associe a sub-rede do seu endpoint a uma Network ACL que permita tráfego de saída destinado a uma porta TCP ou UDP efêmera (intervalo de portas 1024 a 65535, destino 0.0.0.0/0). Além disso, crie uma regra de entrada correspondente (intervalo de portas 1024 a 65535, fonte 0.0.0.0/0).

Esteja ciente do seguinte para grupos de segurança e WAF:

  • O grupo de segurança e as regras do AWS WAF são um conjunto adicional de recursos que você pode aplicar para proteger seus recursos. Por exemplo, as regras do grupo de segurança de entrada associadas às suas instâncias do Amazon EC2 e aos Application Load Balancers permitem que você controle as portas de destino às quais os clientes podem se conectar por meio do Global Accelerator, como a porta 80 para HTTP ou a porta 443 para HTTPS.

  • Os grupos de segurança de instâncias do Amazon EC2 se aplicam a qualquer tráfego que chega às suas instâncias, incluindo tráfego do Global Accelerator e qualquer endereço IP público ou elástico atribuído à sua instância.