AWS Global Accelerator 中的安全 VPC 连接
在 AWS Global Accelerator 中添加网络负载均衡器、内部应用程序负载均衡器或 Amazon EC2 实例端点时,通过将互联网流量定向到私有子网,使互联网流量能够直接流入和流出虚拟私有云(VPC)中的端点。包含负载均衡器或 EC2 实例的 VPC 必须附带互联网网关,以表示 VPC 接受互联网流量。但是,在负载均衡器或 EC2 实例上,不需要公有 IP 地址。您也不需要子网的相关互联网网关路由。
这与典型的互联网网关用例不同,在典型的互联网网关用例中,互联网流量流向 VPC 中的实例或负载均衡器需要公有 IP 地址和互联网网关路由。即使目标的弹性网络接口存在于公有子网(即带有互联网网关路由的子网)中,当使用 Global Accelerator 处理互联网流量时,Global Accelerator 也会覆盖典型的互联网路由,并且通过 Global Accelerator 到达的所有逻辑连接也将通过 Global Accelerator(而不是通过互联网网关)返回。
注意
为 Amazon EC2 实例使用公有 IP 地址和公有子网并不典型,但可以通过它们设置配置。安全组适用于到达实例的任何流量,包括来自 Global Accelerator 的流量以及分配给实例 ENI 的任何公有或弹性 IP 地址。使用私有子网确保流量只能由 Global Accelerator 传送。
要了解有关使用 ENI、安全组和 Global Accelerator 的更多信息,请参阅 对保留客户端 IP 地址的端点的要求。
在考虑网络边界问题和配置与互联网访问管理相关的 IAM 权限时,请记住这些信息。有关控制对 VPC 的互联网访问权限的更多信息,请参阅此服务控制策略示例。
