具有客户端 IP 地址保留功能的 ENI 和安全组的最佳实践 - AWS Global Accelerator

具有客户端 IP 地址保留功能的 ENI 和安全组的最佳实践

在 AWS Global Accelerator 中使用客户端 IP 地址保留功能时,请记住本节中有关弹性网络接口(ENI)和安全组的信息和最佳实践。

为了支持客户端 IP 地址保留功能,Global Accelerator 会在您的 AWS 账户中创建弹性网络接口,每个存在端点的子网都有一个弹性网络接口。弹性网络接口 是 VPC 中表示虚拟网卡的逻辑网络组件。Global Accelerator 使用这些弹性网络接口将流量路由到加速器后面配置的端点。支持以这种方式路由流量的端点包括应用程序负载均衡器(内部和面向互联网)、带有安全组的网络负载均衡器以及 Amazon EC2 实例。

注意

在 Global Accelerator 中添加内部应用程序负载均衡器或 EC2 实例端点时,您可以通过将互联网流量定位到私有子网中,让互联网流量直接流入虚拟私有云(VPC)中的端点或从这些端点中流出。有关更多信息,请参阅 AWS Global Accelerator 中的安全 VPC 连接

Global Accelerator 如何使用弹性网络接口

您具有启用了客户端 IP 地址保留的应用程序负载均衡器或网络负载均衡器端点时,负载均衡器所在的子网数量将决定 Global Accelerator 在您的账户中创建的弹性网络接口的数量。Global Accelerator 会为每个子网创建一个弹性网络接口,这些子网中至少有一个应用程序负载均衡器或网络负载均衡器的弹性网络接口,作为您账户中加速器的前端。

以下示例说明了它的工作原理:

  • 示例 1:如果应用程序负载均衡器在子网 A 和子网 B 中具有弹性网络接口,然后您将该负载均衡器添加为加速器端点,则 Global Accelerator 会创建两个弹性网络接口,每个子网中一个。

  • 示例 2:如果将在子网 A 和子网 B 中具有弹性网络接口的 ALB1 添加到 Accelerator1,然后将在子网 A 和子网 B 中具有弹性网络接口的 ALB2 添加到 Accelerator2,则 Global Accelerator 仅创建两个弹性网络接口:一个在子网 A 中,一个在子网 B 中。

  • 示例 3:如果将在子网 A 和子网 B 中具有弹性网络接口的 ALB1 添加到 Accelerator1,然后将在子网 A 和子网 C 中具有弹性网络接口的 ALB2 添加到 Accelerator2,则 Global Accelerator 会创建三个弹性网络接口:一个在子网 A 中,一个在子网 B 中,一个在子网 C 中。子网 A 中的弹性网络接口为 Accelerator1 和 Accelerator2 提供流量。

如示例中 3 所示,如果同一子网中的端点位于多个加速器后端,则弹性网络接口可在加速器之间重复使用。

Global Accelerator 创建的逻辑弹性网络接口并不呈现单台主机、吞吐量瓶颈或单点故障。与其它在可用区或子网中显示为单个弹性网络接口的 AWS 服务(例如网络地址转换(NATI)网关或网络负载均衡器等 服务)一样,Global Accelerator 是作为水平扩缩的高可用性服务实施的。

估算加速器中端点使用的子网数量,以确定 Global Accelerator 将创建的弹性网络接口的数量。在创建加速器之前,请确保有足够的 IP 地址空间容量来容纳所需的弹性网络接口:即每个相关子网至少有一个空闲的 IP 地址。如果您没有足够的空闲 IP 地址空间,则必须为应用程序负载均衡器或网络负载均衡器以及相关的 Global Accelerator 弹性网络接口创建或使用一个有足够空闲 IP 地址空间的子网。

当 Global Accelerator 确定账户中存在并未被加速器中的任何端点使用的弹性网络接口时,Global Accelerator 会删除该接口。

Global Acccelerator 创建的安全组

在使用 Global Accelerator 和安全组时,请查看以下信息和最佳实践。

  • 您可以将 Global Accelerator 创建的安全组用作您维护的其他安全组中的源组,但是 Global Accelerator 只能将流量转发到您在 VPC 中指定的目标。

  • 如果您修改 Global Accelerator 创建的安全组规则,则端点的运行状况可能会变得不佳。如果发生这种情况,请联系AWS Support 寻求帮助。

  • Global Accelerator 会为每个 VPC 创建一个特定的安全组。无论弹性网络接口与哪个子网关联,为特定 VPC 内的端点创建的弹性网络接口均使用同一个安全组。

重要

Global Accelerator 会创建与其弹性网络接口关联的安全组。尽管系统不会阻止,但您不应对这些组的任何安全组设置进行编辑。