View a markdown version of this page

Preguntas frecuentes - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Preguntas frecuentes

¿Necesito un equilibrador de carga para enrutar el tráfico de Internet a través de un firewall en una implementación Multi-AZ?

AWS Network Firewall es transparente para el tráfico entrante y saliente y no requiere un balanceador de carga propio. Solo se necesita un equilibrador de carga para la aplicación (como en una implementación Multi-AZ estándar). En la arquitectura de zonas perimetrales de esta guía, Network Firewall se inserta a través de las tablas de enrutamiento y las interfaces de red correspondientes en la subred pública.

Si el Application Load Balancer no está en una subred pública (enrutado a una puerta de enlace de Internet), ¿se trata de un Application Load Balancer interno?

El Equilibrador de carga de aplicación no es un Equilibrador de carga de aplicación interno. El Application Load Balancer continúa en la subred externa con acceso a Internet, incluso si la subred no está conectada directamente a Internet. La subred está disponible de forma transparente en Internet porque el enrutamiento desde la subred del punto final a la subred pública se basa en la interfaz de red de Network Firewall.

¿Network Firewall necesita su propia subred de seguridad?

Sí, Network Firewall necesita su propia subred de seguridad. La subred de seguridad (pública) es necesaria para garantizar que el enrutamiento del tráfico desde y hacia el Equilibrador de carga de aplicación se pueda controlar a través de las tablas de enrutamiento.

¿La arquitectura de destino es válida para el firewall del tráfico de entrada y de salida?

Sí, la arquitectura de destino es válida para el firewall del tráfico de entrada y de salida. Si se inicia una conexión desde la aplicación hacia fuera de la VPC, debe agregar una puerta de enlace NAT a la subred del punto final. Además, debe reenviar el tráfico de la subred de la aplicación a la puerta de enlace NAT mediante una tabla de enrutamiento (como se ilustra en la aplicación Route table en el diagrama de la arquitectura de zonas perimetrales basada en la sección Network Firewall de esta guía). Entonces, no es necesario realizar más cambios porque todo el tráfico saliente sigue pasando por Network Firewall.