DAX e IPv6 - Amazon DynamoDB

DAX e IPv6

DynamoDB DAX ahora admite direccionamiento IPv6, que le permite crear clústeres que operan en modos de red de solo IPv4, solo IPv6 o doble pila. Esto ayuda a mejorar las capacidades de red para cumplir con los requisitos de infraestructura en constante evolución.

Tipos de red:

Puede crear clústeres con los siguientes tipos de red:

  • Solo IPv4

  • Solo IPv6

  • Doble pila (admite IPv4 e IPv6)

Características clave de:

Con compatibilidad con IPv6, puede hacer lo siguiente:

  • Opciones de configuración de red:

    • Solo IPv4 y clústeres de pila doble en dual_stack subnets.

    • Clústeres solo de IPv6 en subredes solo de IPv6.

  • Administración de grupos de subredes:

    • Creación de grupos de subredes compatibles con solo IPv4, solo IPv6 o doble pila

    • Modificación de los grupos de subredes existentes con subredes de VPC adicionales

    • Agregación de subredes solo IPv6 a los grupos de subredes configurados para IPv6

    • Agregación de subredes de IPv4 o de doble pila a grupos configurados de IPv4 o de doble pila

  • Configuración de cliente:

    • Al realizar llamadas del plano de datos, puede establecer el protocolo IP preferido para los clústeres de doble_pila mediante:

      • Parámetro ip_discovery en Python SDK

      • Parámetro ipDiscovery en otros SDK

    • Predeterminado: IPv4 cuando no se ha especificado la preferencia de protocolo

Antes de implementar IPv6 en los clústeres de DAX, debe tener en cuenta lo siguiente:

  • No se puede cambiar el tipo de red después de la creación del clúster

  • En el caso de los clústeres de doble pila, el parámetro ip_discovery/ipDiscovery de la configuración del cliente determina el protocolo IP que se debe utilizar (IPv4 o IPv6)

  • Diferentes aplicaciones pueden conectarse al mismo clúster de doble pila mediante distintos protocolos IP en función de su configuración

ejemplo Configuración de cliente de ejemplo
DynamoDbAsyncClient client = ClusterDaxAsyncClient.builder()
        .overrideConfiguration(Configuration.builder()
            .url(endpoint)             // DAX cluster endpoint
            .ipDiscovery(ipDiscovery)       // IP discovery type (IPv4 or IPv6)
            .build())
        .build();
importante

Cuando utilice políticas de IAM basadas en recursos para restringir las direcciones IP de las tablas de DynamoDB en entornos únicamente de IPv6 con DAX, debe crear una excepción para el rol de IAM del clúster de DAX si bloquea el espacio de direcciones IPv4 (0.0.0.0/0). Agregue una condición ArnNotEquals a la política que permita específicamente el acceso al rol de IAM del clúster de DAX y, al mismo tiempo, mantenga las restricciones basadas en IP para otras rutas de acceso. Sin esta excepción, DAX no puede acceder a la tabla de DynamoDB.

Por ejemplo:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "dynamodb:PutItem",
      "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/MusicCollection",
      "Condition": {
        "ArnNotEquals": {
          "aws:PrincipalArn": "arn:aws:iam::123456789012:role/DAXServiceRoleForDynamoDBAccess"
        },
        "IpAddress": {
          "aws:SourceIp": "0.0.0.0/0"
        }
      }
    }
  ]
}