View a markdown version of this page

Perguntas frequentes - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Perguntas frequentes

Preciso de um balanceador de carga para rotear o tráfego da Internet por meio de um firewall em uma implantação multi-AZ?

AWS Network Firewall é transparente para o tráfego de entrada e saída e não requer um balanceador de carga para si mesmo. Um balanceador de carga só é necessário para a aplicação (como em uma implantação multi-AZ padrão). Na arquitetura de zona perimetral deste guia, o Firewall de Rede é inserido por meio de tabelas de rotas e das interfaces de rede correspondentes na sub-rede pública.

Se o Application Load Balancer não estiver em uma sub-rede pública (roteada para um gateway da Internet), ele será um Application Load Balancer interno?

O Application Load Balancer não é um Application Load Balancer interno. O Application Load Balancer continua na sub-rede externa voltada para a Internet, mesmo que a sub-rede não esteja conectada diretamente à Internet. A sub-rede está disponível de forma transparente para a Internet porque o roteamento da sub-rede do endpoint para a sub-rede pública é baseado na interface de rede do Firewall de Rede.

O Network Firewall precisa de sua própria sub-rede de segurança?

Sim, o Network Firewall precisa de sua própria sub-rede de segurança. A sub-rede de segurança (pública) é necessária para garantir que o roteamento do tráfego de e para o Application Load Balancer possa ser controlado por meio das tabelas de rotas.

A arquitetura de destino é válida para firewalls de tráfego de entrada e saída?

Sim, a arquitetura de destino é válida para firewalls de tráfego de entrada e saída. Se uma conexão for iniciada do aplicativo para fora da VPC, você deverá adicionar um gateway NAT à sub-rede do endpoint. Além disso, você deve encaminhar o tráfego da sub-rede do aplicativo para o gateway NAT usando uma tabela de rotas (conforme ilustrado pelo aplicativo Route table no diagrama da arquitetura da zona de perímetro com base na seção Network Firewall deste guia). Então, nenhuma alteração adicional é necessária porque todo o tráfego de saída ainda passa pelo Network Firewall.