Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Conserver les adresses IP des clients dans AWS Global Accelerator
Vos options de conservation et d'accès à l'adresse IP du client pour AWS Global Accelerator dépendent des points de terminaison que vous avez configurés avec votre accélérateur. Il existe deux types de points de terminaison qui peuvent conserver l'adresse IP source du client dans les paquets entrants : Équilibreurs de charge des applications et instances Amazon EC2.
+ Lorsque vous utilisez un Application Load Balancer sur Internet comme point de terminaison avec Global Accelerator, la préservation des adresses IP du client est activée par défaut pour les nouveaux accélérateurs. Cela signifie que l'adresse IP source du client d'origine est conservée pour les paquets qui arrivent à l'équilibreur de charge. Vous pouvez choisir de désactiver l'option lorsque vous créez l'accélérateur ou en modifiant l'accélérateur ultérieurement.
+ Lorsque vous utilisez un Application Load Balancer interne ou une instance EC2 avec Global Accelerator, la conservation de l'adresse IP du client est toujours activée sur le point de terminaison.
**Note**
Global Accelerator ne prend pas en charge la préservation des adresses IP des clients pour les points de terminaison de l'Network Load Balancer et des adresses IP Elastic
Lorsque vous prévoyez d'ajouter la préservation d'adresse IP du client, soyez conscient de ce qui suit :
+ Avant d'ajouter et de commencer à acheminer le trafic vers des points de terminaison qui conservent l'adresse IP du client, assurez-vous que toutes les configurations de sécurité requises, par exemple les groupes de sécurité, sont mises à jour pour inclure l'adresse IP du client utilisateur dans les listes autorisées.
+ La préservation des adresses IP du client est prise en charge uniquement dans des régions AWS spécifiques. Pour plus d'informations, consultez [Régions AWS prises en charge pour la préservation des adresses IP des clients](preserve-client-ip-address.regions.md).
**Topics**
+ [Comment activer la préservation de l'adresse IP du client](preserve-client-ip-address.how-to-enable-preservation.md)
+ [Avantages de la préservation des adresses IP du client](preserve-client-ip-address.benefits-of-preservation.md)
+ [Comment l'adresse IP du client est conservée dans AWS Global Accelerator](preserve-client-ip-address.headers.md)
+ [Meilleures pratiques pour la préservation des adresses IP des clients](best-practices-aga.md)
+ [Régions AWS prises en charge pour la préservation des adresses IP des clients](preserve-client-ip-address.regions.md)
# Comment activer la préservation de l'adresse IP du client
Lorsque vous créez un nouvel accélérateur, la préservation des adresses IP du client est activée, par défaut, pour les points de terminaison pris en charge.
Tenez compte des points suivants :
+ Les équilibreurs de charge des applications internes et les instances EC2 ont toujours activé la préservation de l'adresse IP du client. Vous ne pouvez pas désactiver l'option pour ces points de terminaison.
+ Lorsque vous utilisez la console AWS pour créer un nouvel accélérateur, l'option de préservation des adresses IP du client est activée par défaut pour les points de terminaison de l'Application Load Balancer. Vous pouvez désactiver cette option à tout moment si vous ne souhaitez pas conserver l'adresse IP du client pour un point de terminaison de l'Application Load Balancer sur Internet.
+ Lorsque vous utilisez l'interface de ligne de commande AWS ou une action API pour créer un nouvel accélérateur et que vous ne spécifiez pas l'option de préservation des adresses IP du client, les points de terminaison de l'Application Load Balancer accessibles sur Internet ont la conservation des adresses IP du client activée par défaut.
+ Global Accelerator ne prend pas en charge la préservation des adresses IP des clients pour les points de terminaison de l'Network Load Balancer et des adresses IP Elastic
Pour les accélérateurs existants, vous pouvez transférer des points de terminaison sans conservation d'adresse IP du client vers des points de terminaison qui conservent l'adresse IP du client. Les points de terminaison de l'Application Load Balancer existants peuvent être migrés vers de nouveaux points de terminaison d'équilibreur de charge d'application, et les points de terminaison d'adresse IP Elastic existants peuvent être transférés vers des points de terminaison d'instance EC2. (Les points de terminaison de l'Network Load Balancer ne prennent pas en charge la préservation des adresses IP du client.) Pour passer aux nouveaux points de terminaison, nous vous recommandons de déplacer lentement le trafic d'un point de terminaison existant vers un nouveau point de terminaison disposant de la préservation de l'adresse IP du client en procédant comme suit :
+ Pour les points de terminaison de l'Application Load Balancer existants, ajoutez d'abord à Global Accelerator un point de terminaison d'Application Load Balancer en double qui cible les mêmes backends et, s'il s'agit d'un équilibreur de charge d'application orienté sur Internet, activez la préservation de l'adresse IP du client pour celui-ci. Réglez ensuite les poids sur les terminaux pour déplacer lentement le trafic de l'équilibreur de charge qui*pas*que la préservation de l'adresse IP du client soit activée sur l'équilibreur de charge*avec*La préservation de l'adresse IP du client.
+ Pour un point de terminaison d'adresse IP Elastic existant, vous pouvez déplacer le trafic vers un point de terminaison d'instance EC2 avec la préservation de l'adresse IP du client. Ajoutez d'abord un point de terminaison d'instance EC2 à Global Accelerator, puis ajustez les pondérations sur les points de terminaison pour déplacer lentement le trafic du point de terminaison d'adresse IP Elastic vers le point de terminaison d'instance EC2.
Pour obtenir des conseils pas à pas sur la transition, veuillez consulter.[Transition des points de terminaison pour utiliser la préservation des adresses IP du client](about-endpoints.transition-to-IP-preservation.md).
# Avantages de la préservation des adresses IP du client
Pour les points de terminaison pour lesquels la conservation de l'adresse IP du client n'est pas activée, les adresses IP utilisées par le service Global Accelerator sur le réseau de périphérie remplacent l'adresse IP de l'utilisateur demandeur comme adresse source dans les paquets d'arrivée. Les informations de connexion du client d'origine, telles que l'adresse IP du client et le port du client, ne sont pas conservées lorsque le trafic se déplace vers les systèmes derrière un accélérateur. Cela fonctionne bien pour de nombreuses applications, en particulier celles qui sont disponibles pour tous les utilisateurs tels que les sites Web publics.
Toutefois, pour d'autres applications, vous pouvez accéder à l'adresse IP du client d'origine en utilisant des points de terminaison avec la préservation de l'adresse IP du client. Par exemple, lorsque vous disposez de l'adresse IP du client, vous pouvez collecter des statistiques basées sur les adresses IP du client. Vous pouvez également utiliser des filtres basés sur l'adresse IP tels que[Les groupes de sécurité sur les équilibreurs de charge d'application](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-update-security-groups.html)pour filtrer le trafic. Vous pouvez appliquer une logique spécifique à l'adresse IP d'un utilisateur dans vos applications qui s'exécutent sur les serveurs de niveau Web derrière ce point de terminaison de l'équilibreur de charge d'application à l'aide de la méthode`X-Forwarded-For`, qui contient les informations d'adresse IP du client d'origine. Vous pouvez également utiliser la préservation des adresses IP du client dans les règles de groupe de sécurité des groupes de sécurité associés à votre Application Load Balancer. Pour plus d'informations, consultez [Comment l'adresse IP du client est conservée dans AWS Global Accelerator](preserve-client-ip-address.headers.md). Pour les points de terminaison d'instance EC2, l'adresse IP du client d'origine est conservée.
Pour les points de terminaison qui n'ont pas de conservation de l'adresse IP du client, vous pouvez filtrer l'adresse IP source utilisée par Global Accelerator lorsqu'il transfère le trafic à partir de la périphérie. Vous pouvez afficher des informations sur les adresses IP source (qui sont également des adresses IP clientes, lorsque la conservation de l'adresse IP du client est activée) des paquets entrants en consultant vos journaux de flux Global Accelerator. Pour plus d'informations, consultez [Plages d'adresses IP et d'emplacements des serveurs périphériques Global Accelator](introduction-ip-ranges.md) et [Journaux de flux dans AWS Global Accelerator](monitoring-global-accelerator.flow-logs.md).
# Comment l'adresse IP du client est conservée dans AWS Global Accelerator
AWS Global Accelerator conserve l'adresse IP source du client différemment pour les instances Amazon EC2 et les équilibreurs de charge d'application :
+ Pour un point de terminaison d'instance EC2, l'adresse IP du client est conservée pour tout le trafic.
+ Pour un point de terminaison de l'Application Load Balancer avec la préservation de l'adresse IP du client, Global Accelerator travaille en collaboration avec l'Application Load Balancer pour fournir un`X-Forwarded`En-tête,`X-Forwarded-For`, qui inclut l'adresse IP du client d'origine afin que votre niveau Web puisse y accéder.
Les demandes HTTP et les réponses HTTP utilisent des champs d'en-tête pour envoyer des informations concernant les messages HTTP. Les champs d'en-tête sont des paires nom-valeur dont les noms et les valeurs sont séparés par un signe deux points, et qui sont séparées entre elles par un retour chariot (CR) et un saut de ligne (LF). Un ensemble standard de champs d'en-tête HTTP est défini dans la section du RFC 2616concernant les en-têtes HTTP[En-têtes de message](https://tools.ietf.org/html/rfc2616#section-4.2). Des en-têtes HTTP non standard couramment utilisés par les applications sont également disponibles. Certains des en-têtes HTTP non standard ont un`X-Forwarded`prefix.
Étant donné qu'un Application Load Balancer met fin aux connexions TCP entrantes et crée de nouvelles connexions à vos cibles principales, il ne conserve pas les adresses IP du client jusqu'à votre code cible (telles que les instances, les conteneurs ou le code Lambda). L'adresse IP source que vos cibles voient dans le paquet TCP est l'adresse IP de l'équilibreur de charge d'application. Toutefois, un équilibreur de charge d'application conserve l'adresse IP du client d'origine en la supprimant de l'adresse de réponse du paquet d'origine et en l'insérant dans un en-tête HTTP avant d'envoyer la requête à votre serveur principal via une nouvelle connexion TCP.
La .`X-Forwarded-For`est formaté comme ceci :
```
X-Forwarded-For: client-ip-address
```
L'exemple suivant illustre un`X-Forwarded-For`En-tête de demande pour un client avec l'adresse IP 203.0.113.7.
```
X-Forwarded-For: 203.0.113.7
```
# Meilleures pratiques pour la préservation des adresses IP des clients
Lorsque vous utilisez la préservation des adresses IP du client dans AWS Global Accelerator, gardez à l'esprit les informations et les meilleures pratiques de cette section pour les interfaces réseau élastiques et les groupes de sécurité.
Pour prendre en charge la préservation des adresses IP des clients, Global Accelerator crée des interfaces réseau élastiques dans votre compte AWS, une pour chaque sous-réseau où un point de terminaison est présent. Une interface réseau élastique est un composant réseau logique dans un VPC qui représente une carte réseau virtuelle. Global Accelerator utilise ces interfaces réseau élastiques pour acheminer le trafic vers les points de terminaison configurés derrière un accélérateur. Les points de terminaison pris en charge pour le routage du trafic de cette façon sont les équilibreurs de charge d'application (internes et Internet) et les instances Amazon EC2.
**Note**
Lorsque vous ajoutez un Application Load Balancer interne ou un point de terminaison d'instance EC2 dans Global Accelerator, vous autorisez le trafic Internet à circuler directement vers et depuis le point de terminaison dans Virtual Private Clouds (VPC) en le ciblant dans un sous-réseau privé. Pour plus d'informations, consultez [Connexions VPC sécurisées dans AWS Global Accelerator](secure-vpc-connections.md).
**Comment Global Accelerator utilise les interfaces réseau élastiques**
Lorsque vous avez un équilibreur de charge d'application avec la conservation de l'adresse IP du client activée, le nombre de sous-réseaux dans lesquels se trouve l'équilibreur de charge détermine le nombre d'interfaces réseau élastiques que Global Accelerator crée dans votre compte. Global Accelerator crée une elastic network interface pour chaque sous-réseau qui comporte au moins une elastic network interface de l'Application Load Balancer qui est orientée par un accélérateur dans votre compte.
Les exemples suivants illustrent comment cela fonctionne :
+ **Exemple 1 : **Si un équilibreur de charge d'application possède des interfaces réseau élastiques dans le sous-réseau A et le sous-réseau B, puis que vous ajoutez l'équilibreur de charge comme point de terminaison d'accélérateur, Global Accelerator crée deux interfaces réseau élastiques, une dans chaque sous-réseau.
+ **Exemple 2 : **Si vous ajoutez, par exemple, un ALB1 qui a des interfaces réseau élastiques dans SubNETA et SubNetB à Accelerator1, puis ajoutez un ALB2 avec des interfaces réseau élastiques dans le sous-réseau A et le sous-réseau B à Accelerator2, Global Accelerator ne crée que deux interfaces réseau élastiques : une dans SubNETA et une dans SubNetB.
+ **Exemple 3 : **Si vous ajoutez un ALB1 qui a des interfaces réseau élastiques dans SubNETA et SubNetB à Accelerator1, puis ajoutez un ALB2 avec des interfaces réseau élastiques dans SubNETA et SubNetC à Accelerator2, Global Accelerator crée trois interfaces réseau élastiques : une dans SubNETA, une dans SubNetB et une dans SubNetC. L'elastic network interface de SubNETA fournit le trafic activé pour Accelerator1 et Accelerator2.
Comme indiqué dans l'exemple 3, les interfaces réseau élastiques sont réutilisées entre les accélérateurs si les points de terminaison du même sous-réseau sont placés derrière plusieurs accélérateurs.
Les interfaces réseau élastiques logiques créées par Global Accelerator ne représentent pas un hôte unique, un goulot d'étranglement de débit ou un point de défaillance unique. Comme d'autres services AWS qui apparaissent sous la forme d'une elastic network interface unique dans une zone de disponibilité ou un sous-réseau, des services tels qu'une passerelle de traduction d'adresses réseau (NAT) ou un équilibrage de charge réseau, Global Accelerator est implémenté en tant que service hautement disponible à échelle horizontale.
Évaluez le nombre de sous-réseaux utilisés par les points de terminaison dans vos accélérateurs pour déterminer le nombre d'interfaces réseau élastiques que Global Accelerator créera. Avant de créer un accélérateur, assurez-vous que vous disposez d'une capacité d'espace d'adressage IP suffisante pour les interfaces réseau élastiques requises, au moins une adresse IP libre par sous-réseau concerné. Si vous n'avez pas assez d'espace d'adressage IP libre, vous devez créer ou utiliser un sous-réseau disposant d'un espace d'adressage IP suffisant pour votre Application Load Balancer et les interfaces réseau élastiques Global Accelerator associées.
Lorsque Global Accelerator détermine qu'aucune elastic network interface n'est utilisée par aucun des points de terminaison des accélérateurs de votre compte, Global Accelerator supprime l'interface.
**Groupes de sécurité créés par Global Accelerator**
Consultez les informations et les meilleures pratiques suivantes lorsque vous travaillez avec Global Accelerator et des groupes de sécurité.
+ Global Accelerator crée des groupes de sécurité associés à ses interfaces réseau élastiques. Bien que le système ne vous empêche pas de le faire, vous ne devez pas modifier les paramètres du groupe de sécurité pour ces groupes.
+ Global Accelerator ne supprime pas les groupes de sécurité qu'il crée. Toutefois, Global Accelerator supprime une elastic network interface si elle n'est utilisée par aucun des points de terminaison des accélérateurs de votre compte.
+ Vous pouvez utiliser les groupes de sécurité créés par Global Accelerator comme groupe source dans d'autres groupes de sécurité que vous maintenez à jour, mais Global Accelerator transfère uniquement le trafic vers les cibles que vous spécifiez dans votre VPC.
+ Si vous modifiez les règles de groupe de sécurité créées par Global Accelerator, le point de terminaison peut devenir défectueux. Dans ce cas, contactez[AWS Support](https://console.aws.amazon.com/support/home)Pour obtenir de l'aide.
+ Global Accelerator crée un groupe de sécurité spécifique pour chaque VPC. Les interfaces réseau élastiques créées pour les points de terminaison d'un VPC spécifique utilisent toutes le même groupe de sécurité, quel que soit le sous-réseau auquel une elastic network interface est associée.
# Régions AWS prises en charge pour la préservation des adresses IP des clients
Vous pouvez activer la préservation des adresses IP du client pour AWS Global Accelerator dans les régions AWS suivantes.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/global-accelerator/latest/dg/preserve-client-ip-address.regions.html)