使用客户端 IP 地址保留添加端点 - AWS Global Accelerator

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用客户端 IP 地址保留添加端点

您可以与某些端点类型(在某些区域中)一起使用的功能是客户端 IP 地址保留。使用此功能,您可以为到达终端节点的数据包保留原始客户端的源 IP 地址。您可以将此功能与应用程序负载均衡器和 Amazon EC2 实例终端节点结合使用。自定义路由加速器上的端点始终保留客户端 IP 地址。有关更多信息,请参阅 在 AWS Global Accelerator 中保留客户端 IP 地址

如果要使用客户端 IP 地址保留功能,请在向全局加速器添加终端节点时注意以下事项:

弹性网络接口

为了支持客户端 IP 地址保留,全球加速器在您的 AWS 账户中创建弹性网络接口 — 每个存在终端节点的子网都会创建一个弹性网络接口。有关 Global Accelerator 如何使用弹性网络接口的更多信息,请参阅客户端 IP 地址保留的最佳实践

私有子网中的终端节点

您可以使用 AWS Global Accelerator 将应用 Application Load Balancer 器或私有子网中的 EC2 实例定位为目标,但您必须具有互联网网关连接到包含终端节点的 VPC。有关更多信息,请参阅 AWS Global Accelerator 中的 VPC 连接安全

将客户端 IP 地址添加到允许列表中

在添加流量并开始将流量路由到保留客户端 IP 地址的终端之前,请确保已更新所有必需的安全配置(例如安全组),以便在允许列表中包括用户客户端 IP 地址。网络访问控制列表 (ACL) 仅适用于出站 (出站) 流量。如果您需要筛选入站(入站)流量,则必须使用安全组。

配置网络访问控制列表 (ACL)

当您的加速器启用客户端 IP 地址保留时,与 VPC 子网关联的网络 ACL 将应用于出站(出站)流量。但是,要允许流量通过全局加速器退出,必须将 ACL 配置为入站和出站规则。

例如,要允许使用临时源端口的 TCP 和 UDP 客户端通过全局加速器连接到终端节点,请将终端节点的子网与允许发往临时 TCP 或 UDP 端口的出站流量(端口范围为 1024-65535,目标 0.0.0.0/0)的网络 ACL 相关联。此外,还可以创建匹配的入站规则(端口范围 1024-65535、源 0.0.0/0)。

注意

安全组和 AWS WAF 规则是一组额外的功能,您可以应用它们来保护您的资源。例如,与 Amazon EC2 实例和应用程序负载均衡器关联的入站安全组规则允许您控制客户端可通过全局加速器连接到的目标端口,例如 HTTP 端口 80 或 HTTPS 端口 443。请注意,Amazon EC2 实例安全组应用于到达您实例的任何流量,包括来自全局加速器的流量以及分配给您的实例的任何公有或弹性 IP 地址。作为最佳做法,如果您希望确保流量仅由全局加速器传送,请使用私有子网。此外,请确保入站安全组规则已适当配置,以正确地允许或拒绝应用程序的流量。