本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Global Accelerator 中的 VPC 连接安全
当您在 AWS Global Accelerator 中添加内部 Application Load Balancer 器或 Amazon EC2 实例终端节点时,您可以通过将互联网流量定位在私有子网中,从而使互联网流量直接流入和流出虚拟私有云 (VPC) 中的终端节点。包含负载均衡器或 EC2 实例的 VPC 必须具有互联网网关,以表示 VPC 接受互联网流量。但是,您不需要负载均衡器或 EC2 实例上的公有 IP 地址。您也不需要子网相关联的 Internet 网关路由。
这不同于典型的互联网网关使用情形,即互联网流量流向 VPC 中的实例或负载均衡器需要公有 IP 地址和互联网网关路由。即使目标的弹性网络接口存在于公有子网(即具有 Internet 网关路由的子网)中,当您使用全局加速器进行 Internet 流量时,全局加速器会覆盖典型的 Internet 路由和所有通过全局到达的逻辑连接加速器还通过全球加速器返回,而不是通过互联网网关返回。
注意
对您的 Amazon EC2 实例使用公有 IP 地址和使用公有子网并不常见,尽管您可以使用它们设置配置。安全组应用于到达实例的任何流量,包括来自全局加速器的流量以及分配给您的实例 ENI 的任何公有或弹性 IP 地址。使用私有子网确保流量仅由全局加速器传输。
在考虑网络外围问题和配置与 Internet 访问管理相关的 IAM 权限时,请牢记这些信息。有关控制对 VPC 的互联网访问的更多信息,请参阅此服务控制策略示例。
