As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Acesse dispositivos virtuais por meio de AWS PrivateLink
Você pode usar um Gateway Load Balancer para distribuir tráfego para uma frota de dispositivos virtuais de rede. Os dispositivos podem ser usados para inspeção de segurança, conformidade, controles de políticas e outros serviços de rede. Você especifica o Gateway Load Balancer ao criar um serviço de VPC endpoint. Outras entidades principais da AWS acessam o serviço de endpoint criando um endpoint do Gateway Load Balancer.
Preços
Você é cobrado por cada hora que seu endpoint do Gateway Load Balancer é provisionado em cada zona de disponibilidade. Você também é cobrado por GB de dados processados. Para obter mais informações, consulte Preços do AWS PrivateLink
Sumário
Para obter mais informações, consulte Balanceadores de carga de gateway.
Visão geral
O diagrama a seguir mostra como os servidores de aplicativos acessam os dispositivos de segurança por meio de AWS PrivateLink. Os servidores de aplicativos são executados em uma sub-rede do consumidor VPC do serviço. Você cria um endpoint do Gateway Load Balancer em outra sub-rede do mesmo. VPC Todo o tráfego que entra no consumidor do serviço VPC pelo gateway da Internet é primeiro roteado para o endpoint do Gateway Load Balancer para inspeção e, em seguida, roteado para a sub-rede de destino. Da mesma forma, todo o tráfego que sai dos servidores da aplicação é encaminhado primeiro ao endpoint do Gateway Load Balancer para inspeção antes de ser encaminhado ao gateway da Internet.
Tráfego da Internet para os servidores de aplicações (setas azuis):
-
O tráfego entra no consumidor do serviço VPC por meio do gateway da Internet.
-
O tráfego é enviado ao endpoint do Gateway Load Balancer com base na configuração da tabela de rotas.
-
O tráfego é enviado ao Gateway Load Balancer para inspeção pelo dispositivo de segurança.
-
O tráfego é reencaminhado ao endpoint do Gateway Load Balancer após a inspeção.
-
O tráfego é enviado aos servidores de aplicações com base na configuração da tabela de rotas.
Tráfego dos servidores de aplicações para a Internet (setas laranja):
-
O tráfego é enviado ao endpoint do Gateway Load Balancer com base na configuração da tabela de rotas.
-
O tráfego é enviado ao Gateway Load Balancer para inspeção pelo dispositivo de segurança.
-
O tráfego é reencaminhado ao endpoint do Gateway Load Balancer após a inspeção.
-
O tráfego é enviado ao gateway da Internet com base na configuração da tabela de rotas.
-
O tráfego é reencaminhado à Internet.
Tipos de endereço IP
Os provedores de serviços podem disponibilizar seus endpoints de serviço para os consumidores de serviços em IPv4IPv6, ou em ambos IPv4IPv6, mesmo que seus dispositivos de segurança suportem apenasIPv4. Se você habilitar o suporte dualstack, os consumidores existentes poderão continuar usando IPv4 para acessar seu serviço e os novos consumidores poderão optar por usar IPv6 para acessar seu serviço.
Se um endpoint do Gateway Load Balancer suportarIPv4, as interfaces de rede do endpoint terão endereços. IPv4 Se um endpoint do Gateway Load Balancer suportarIPv6, as interfaces de rede do endpoint terão endereços. IPv6 O IPv6 endereço de uma interface de rede de endpoint não pode ser acessado pela Internet. Se você descrever uma interface de rede de endpoint com um IPv6 endereço, observe que ela denyAllIgwTraffic está ativada.
Requisitos IPv6 para habilitar um serviço de endpoint
-
As sub-redes VPC e do serviço de endpoint devem ter blocos associados. IPv6 CIDR
-
Os Gateway Load Balancers do serviço de endpoint devem usar o tipo de endereço IP dualstack. Os dispositivos de segurança não precisam oferecer suporte ao IPv6 tráfego.
Requisitos IPv6 para habilitar um endpoint do Gateway Load Balancer
-
O serviço de endpoint deve ter um tipo de endereço IP que inclua IPv6 suporte.
-
O tipo de endereço IP de um Gateway Load Balancer deve ser compatível com as sub-redes do endpoint do Gateway Load Balancer, conforme descrito aqui:
-
IPv4— Atribua IPv4 endereços às interfaces de rede do seu terminal. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv4 endereços.
-
IPv6— Atribua IPv6 endereços às interfaces de rede do seu terminal. Essa opção é suportada somente se todas as sub-redes selecionadas forem IPv6 somente sub-redes.
-
Dualstack — atribua IPv6 endereços IPv4 e endereços às suas interfaces de rede de endpoints. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv6 endereços IPv4 e ambos.
-
-
As tabelas de rotas das sub-redes no consumidor do serviço VPC devem rotear o IPv6 tráfego e a rede ACLs dessas sub-redes deve permitir o tráfego. IPv6
Roteamento
Para encaminhar o tráfego ao serviço de endpoint, especifique o endpoint do Gateway Load Balancer como destino nas tabelas de rotas usando o ID. No diagrama acima, adicione rotas às tabelas de rotas da seguinte forma. Observe que IPv6 as rotas estão incluídas para uma configuração de pilha dupla.
Tabela de rotas para o gateway da Internet
A tabela de rotas deve conter uma rota que envie o tráfego destinado aos servidores de aplicações ao endpoint do Gateway Load Balancer.
| Destino | Destino |
|---|---|
VPC IPv4 CIDR |
Local |
VPC IPv6 CIDR |
Local |
Application subnet IPv4 CIDR |
vpc-endpoint-id |
Application subnet IPv6 CIDR |
vpc-endpoint-id |
Tabela de rotas para a sub-rede com os servidores de aplicações
A tabela de rotas deve conter uma rota que envie todo o tráfego dos servidores de aplicações ao endpoint do Gateway Load Balancer.
| Destino | Destino |
|---|---|
VPC IPv4 CIDR |
Local |
VPC IPv6 CIDR |
Local |
| 0.0.0.0/0 | vpc-endpoint-id |
| ::/0 | vpc-endpoint-id |
Tabela de rotas para a sub-rede com o endpoint do Gateway Load Balancer
Essa tabela de rotas deverá enviar o tráfego que é retornado da inspeção ao destino final. Para o tráfego proveniente da Internet, a rota local enviará o tráfego aos servidores de aplicações. Para o tráfego proveniente dos servidores de aplicações, adicione uma rota que envie todo o tráfego ao gateway da Internet.
| Destino | Destino |
|---|---|
VPC IPv4 CIDR |
Local |
VPC IPv6 CIDR |
Local |
| 0.0.0.0/0 | internet-gateway-id |
| ::/0 | internet-gateway-id |
