Práticas recomendadas para ENIs e grupos de segurança com preservação do endereço IP do cliente

Ao usar a preservação do endereço IP do cliente no AWS Global Accelerator, lembre-se das informações e das práticas recomendadas nesta seção para interfaces de rede elásticas (ENIs) e grupos de segurança.

Para oferecer compatibilidade com a preservação do endereço IP do cliente, o Global Accelerator cria interfaces de rede elásticas em sua conta da AWS, uma para cada sub-rede em que um endpoint está presente. Uma interface de rede elástica é um componente lógico de redes em uma VPC que representa uma cartão de rede virtual. O Global Accelerator usa essas interfaces de rede elásticas para rotear o tráfego para os endpoints configurados por trás de um acelerador. Os endpoints compatíveis para rotear o tráfego dessa forma são Application Load Balancers (internos e voltados para a Internet), Network Load Balancers com grupos de segurança e instâncias do Amazon EC2.

nota

Ao adicionar um Application Load Balancer interno ou um endpoint de instância do EC2 no Global Accelerator, você permite que o tráfego da Internet flua diretamente de e para o endpoint em nuvens privadas virtuais (VPCs), direcionando-o para uma sub-rede privada. Para ter mais informações, consulte Conexões de VPC seguras no AWS Global Accelerator.

Como o Global Accelerator usa interfaces de rede elásticas

Quando você tem um endpoint do Application Load Balancer ou do Network Load Balancer com a preservação do endereço IP do cliente habilitada, o número de sub-redes em que o balanceador de carga está determina o número de interfaces de rede elásticas que o Global Accelerator cria em sua conta. O Global Accelerator cria uma interface de rede elástica para cada sub-rede que tem pelo menos uma interface de rede elástica do Application Load Balancer ou do Network Load Balancer, liderada por um acelerador em sua conta.

Os seguintes exemplos mostram como isso funciona:

Exemplo 1: se um Application Load Balancer tiver interfaces de rede elásticas na sub-rede A e na sub-rede B e você adicionar o balanceador de carga como um endpoint do acelerador, o Global Accelerator cria duas interfaces de rede elásticas, uma em cada sub-rede.
Exemplo 2: se você adicionar, por exemplo, um ALB1 que tenha interfaces de rede elásticas na sub-rede A e sub-rede B ao Acelerador1 e, em seguida, adicionar um ALB2 com interfaces de rede elásticas na sub-rede A e a sub-rede B ao Acelerador2, o Global Accelerator cria somente duas interfaces de rede elásticas: uma na sub-rede A e outra na sub-rede B.
Exemplo 3: se você adicionar um ALB1 que tenha interfaces de rede elásticas na sub-rede A e sub-rede B ao Acelerador1 e, em seguida, adicionar um ALB2 com interfaces de rede elásticas na sub-rede A e sub-rede C ao Acelerador2, o Global Accelerator cria três interfaces de rede elásticas: uma na sub-rede A, uma na sub-rede B e uma na sub-rede C. A interface de rede elástica na sub-rede A fornece tráfego para o Acelerador1 e o Acelerador2.

Conforme mostrado no Exemplo 3, as interfaces de rede elásticas são reutilizadas nos aceleradores se os endpoints na mesma sub-rede forem colocados atrás de vários aceleradores.

As interfaces de rede elásticas lógicas que o Global Accelerator cria não representam um único host, um gargalo de throughput ou um único ponto de falha. Como outros serviços da AWS que aparecem como uma única interface de rede elástica em uma zona de disponibilidade ou sub-rede (serviços como um gateway de conversão de endereços de rede (NAT) ou um Network Load Balancer) o Global Accelerator é implementado como um serviço altamente disponível e escalado horizontalmente.

Avalie o número de sub-redes usadas pelos endpoints em seus aceleradores para determinar o número de interfaces de rede elásticas que o Global Accelerator criará. Antes de criar um acelerador, verifique se você tem capacidade de espaço de endereço IP suficiente para as interfaces de rede elásticas necessárias, ou seja, pelo menos um endereço IP livre por sub-rede relevante. Se você não tiver espaço de endereço IP livre suficiente, deverá criar ou usar uma sub-rede que tenha espaço de endereço IP livre adequado para seu Application Load Balancer ou Network Load Balancer e as interfaces de rede elásticas associadas do Global Accelerator.

Quando o Global Accelerator determina que uma interface de rede elástica não está sendo usada por nenhum dos endpoints nos aceleradores da sua conta, o Global Accelerator exclui a interface.

Grupos de segurança criados pelo Global Accelerator

Analise as informações e as práticas recomendadas a seguir ao trabalhar com o Global Accelerator e grupos de segurança.

Você pode usar os grupos de segurança criados pelo Global Accelerator como um grupo de origem em outros grupos de segurança que você mantém, mas o Global Accelerator só encaminha o tráfego para os destinos que você especifica em sua VPC.
Se você modificar as regras do grupo de segurança criadas pelo Global Accelerator, o endpoint poderá ficar não íntegro. Se isso acontecer, entre em contato com o Suporte da AWS para obter ajuda.
O Global Accelerator cria um grupo de segurança específico para cada VPC. Todas as interfaces de rede elásticas criadas para os endpoints em uma VPC específica usam o mesmo grupo de segurança, independentemente da sub-rede à qual uma interface de rede elástica esteja associada.

Importante

O Global Accelerator cria grupos de segurança associados a interfaces de rede elásticas. Embora o sistema não impeça você de fazer isso, você não deve editar nenhuma das configurações do grupo de segurança desses grupos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Benefícios da preservação de endereços IP do cliente

Endpoints de transição