As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando o NAT gateway e o Gateway Load Balancer com EC2 instâncias da Amazon para saída centralizada IPv4
Usar um dispositivo virtual baseado em software (na AmazonEC2) de AWS Marketplace e AWS Partner Network como ponto de saída é semelhante à configuração do NAT gateway. Essa opção pode ser usada se você quiser usar o Firewall/Sistema de Prevenção/Detecção de Intrusões (IPS/IDS) de camada 7 e os recursos avançados de inspeção profunda de pacotes das ofertas de vários fornecedores.
Na figura a seguir, além do NAT gateway, você implanta dispositivos virtuais usando EC2 instâncias por trás de um Gateway Load Balancer ()GWLB. Nessa configuraçãoGWLB, o Gateway Load Balancer Endpoint (GWLBE), dispositivos virtuais e NAT gateways são implantados de forma centralizada que é VPC conectada ao Transit Gateway usando anexo. VPC Os raios também VPCs são conectados ao Transit Gateway usando um VPC anexo. Por GWLBEs serem um destino roteável, você pode rotear o tráfego que se move de e para o Transit Gateway para a frota de dispositivos virtuais configurados como destinos atrás de umGWLB. GWLBatua como um bump-in-the-wire e passa de forma transparente todo o tráfego de camada 3 por meio de dispositivos virtuais de terceiros e, portanto, é invisível para a origem e o destino do tráfego. Portanto, essa arquitetura permite que você inspecione centralmente todo o tráfego de saída que passa pelo Transit Gateway.
Para obter mais informações sobre como o tráfego flui dos aplicativos VPCs para a Internet e de volta por meio dessa configuração, consulte Arquitetura de inspeção centralizada com AWS Gateway Load Balancer e. AWS Transit Gateway
Você pode ativar o modo de dispositivo no Transit Gateway para manter a simetria do fluxo por meio de dispositivos virtuais. Isso significa que o tráfego bidirecional é roteado pelo mesmo dispositivo e pela zona de disponibilidade durante toda a vida útil do fluxo. Essa configuração é particularmente importante para firewalls com estado que realizam inspeção profunda de pacotes. A ativação do modo de dispositivo elimina a necessidade de soluções alternativas complexas, como tradução do endereço de rede de origem (SNAT), para forçar o tráfego a retornar ao dispositivo correto para manter a simetria. Consulte Melhores práticas para implantar o Gateway Load Balancer
Também é possível implantar GWLB endpoints de forma distribuída sem o Transit Gateway para permitir a inspeção de saída. Saiba mais sobre esse padrão de arquitetura na postagem do blog Introducing AWS Gateway Load Balancer: Supported architecture patterns
Saída centralizada com Gateway Load Balancer EC2 e instância (design de tabela de rotas)
Alta disponibilidade
AWSrecomenda a implantação de balanceadores de carga de gateway e dispositivos virtuais em várias zonas de disponibilidade para maior disponibilidade.
O Gateway Load Balancer pode realizar verificações de integridade para detectar falhas no dispositivo virtual. No caso de um aparelho não íntegro, GWLB redireciona os novos fluxos para aparelhos saudáveis. Os fluxos existentes sempre vão para o mesmo alvo, independentemente do estado de saúde do alvo. Isso permite a drenagem da conexão e acomoda falhas na verificação de integridade devido a CPU picos nos aparelhos. Para obter mais detalhes, consulte a seção 4: Entenda os cenários de falha do dispositivo e da zona de disponibilidade na postagem do blog Melhores práticas para a implantação do Gateway Load Balancer
Vantagens
Os endpoints do Gateway Load Balancer e do Gateway Load Balancer são alimentados AWS PrivateLink por, o que permite a troca de tráfego VPC entre fronteiras com segurança, sem a necessidade de atravessar a Internet pública.
O Gateway Load Balancer é um serviço gerenciado que elimina o trabalho pesado indiferenciado de gerenciar, implantar e escalar dispositivos de segurança virtual para que você possa se concentrar nas coisas que importam. O Gateway Load Balancer pode expor a pilha de firewalls como um serviço de endpoint para os clientes assinarem usando o. AWS Marketplace
Considerações importantes
-
Os dispositivos precisam suportar o protocolo de encapsulamento Geneve
para integração com. GWLB -
Alguns dispositivos de terceiros podem suportar SNAT e sobrepor o roteamento (modo de dois braços
), eliminando assim a necessidade de criar NAT gateways para economizar custos. No entanto, consulte um AWS parceiro de sua escolha antes de usar esse modo, pois isso depende do suporte e da implementação do fornecedor. -
Anote o tempo limite de GWLB inatividade. Isso pode resultar em tempos limite de conexão nos clientes. Você pode ajustar seus tempos limite no nível do cliente, servidor, firewall e sistema operacional para evitar isso. Consulte a Seção 1: Ajuste os valores de TCP keep-alive ou timeout para suportar fluxos de longa duração na postagem do blog de TCP Melhores práticas para implantar o Gateway Load Balancer para obter
mais informações. -
GWLBEsão alimentados por AWS PrivateLink, portanto, AWS PrivateLink as taxas serão aplicáveis. Você pode saber mais na página AWS PrivateLink de preços
. Se você estiver usando o modelo centralizado com o Transit Gateway, as taxas de processamento de TGW dados serão aplicáveis. -
Considere implantar o Transit Gateway e a saída VPC em uma conta separada dos Serviços de Rede para segregar o acesso com base na delegação de tarefas, como por exemplo, somente administradores de rede podem acessar a Conta de Serviços de Rede.
