Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon ما هي الخطوات لتكوين ACLs الشبكة لمؤسسة Global


ما هي الخطوات لتكوين ACLs الشبكة لمؤسسة Global


لتكوين ACLs الشبكة (قوائم التحكم في الوصول) لـ AWS Global Accelerator ، اتبع هذه الخطوات التفصيلية:

1. فهم دور الشبكة ACLs مع التسارع العالمي
ACLs الشبكة هي جدران حماية عديمة الجنسية تتحكم في حركة المرور الواردة والخارجية على مستوى الشبكة الفرعية داخل VPC. عند استخدام Accelerator Global ، الذي يوجه حركة المرور إلى نقاط النهاية مثل موازنات التحميل أو مثيلات EC2 في منطقة AWS واحدة أو أكثر ، يجب عليك التأكد من أن الشبكة ACLs المرتبطة بشبكات فرعية تستضيف نقاط النهاية هذه تسمح بحركة المرور اللازمة. يتضمن ذلك حركة المرور من عناوين IP الثابتة لـ Global Accelerator والمنافذ التي يستخدمها تطبيقك [3] [6].

2. حدد الشبكات الفرعية التي تستضيف نقاط النهاية الخاصة بك
حدد الشبكات الفرعية VPC التي تحتوي على نقاط النهاية (على سبيل المثال ، موازنات تحميل التطبيق ، أو موازنات تحميل الشبكة ، أو مثيلات EC2) التي سيقوم التسريع العالمي بتوجيه حركة المرور إليها. للحصول على مسرع توجيه مخصص ، يمكنك إضافة شبكات فرعية أو أكثر من VPC كنقاط نهاية [6] [8].

3. مراجعة نطاقات عنوان IP للرسول العالمي
يستخدم Global Accelerator عناوين IP ثابتة من أي مكان من مواقع AWS Edge متعددة. تنشر AWS نطاقات عنوان IP المستخدمة من قبل Global Accelerator. يجب عليك إنشاء قوائم بادئة مخصصة أو تضمين نطاقات IP هذه في قواعد شبكتك ACL للسماح بحركة المرور من Global Accelerator [4].

4. تكوين القواعد الواردة على ACLs الشبكة
- السماح بحركة المرور الواردة على المنافذ التي تستمع إلى تطبيقك (على سبيل المثال ، TCP Ports 80 ، 443 ، أو منافذ مخصصة).
- السماح لحركة المرور الواردة من نطاقات عنوان IP للمعجل العالمي أو قوائم البادئة. هذا يضمن أن حركة المرور التي تم توجيهها بواسطة Global Accelerator يمكن أن تصل إلى نقاط النهاية الخاصة بك.
- تأكد من طلب القواعد بشكل صحيح ، كقواعد معالجة ACLS في الشبكة ، ويتم تطبيق قاعدة المطابقة الأولى [3] [6].

5. تكوين القواعد الخارجية على شبكات ACLs
- السماح للاستجابات الصادرة على IPs والمنافذ المصدر حسب الضرورة. نظرًا لأن ACLs الشبكية عديمة الجنسية ، يجب أن تسمح صراحة بحركة المرور الصادرة التي تتوافق مع الطلبات الواردة.
- عادةً ، السماح لحركة المرور الخارجية بالمنافذ السريعة (على سبيل المثال ، منافذ TCP 1024-65535) لدعم حركة مرور الإرجاع إلى العملاء أو نقاط نهاية التسريع العالمية [3].

6. ربط الشبكة ACLs مع الشبكات الفرعية المناسبة
- في وحدة التحكم في VPC ، قم بربط الشبكة التي تم تكوينها بالشبكات الفرعية حيث توجد نقاط نهاية التسريع العالمية.
- يمكن ربط كل شبكة فرعية بشبكة ACL واحدة فقط في وقت واحد ، لذا تأكد من تطبيق ACL الذي تقوم بتكوينه على جميع الشبكات الفرعية ذات الصلة [3].

7. اختبار والتحقق من تدفق حركة المرور
- بعد تكوين الشبكة ACLs ، اختبر حركة المرور من Global Accelerator تصل إلى نقاط النهاية بشكل صحيح.
- استخدم أدوات مثل سجلات تدفق VPC أو تقارير الامتثال لـ AWS Firewall Manager إذا كنت تدير حسابات متعددة وشبكات فرعية. يمكن أن يساعد مدير جدار الحماية في أتمتة ومراقبة تكوينات ACL الشبكة عبر مؤسسة AWS الخاصة بك [3].

8. اختياري: استخدم مدير جدار الحماية AWS للإدارة المركزية
- إذا قمت بإدارة حسابات متعددة أو عدد كبير من الشبكات الفرعية ، ففكر في استخدام AWS Firewall Manager لتحديد وإنفاذ سياسات ACL الشبكة مركزيًا.
- يمكن لـ Firewall Manager تطبيق تكوينات الشبكة ACL تلقائيًا على شبكات فرعية جديدة وتقرير حالة الامتثال [3].

** ملاحظات إضافية:
- تأكد من أن مجموعات الأمان المرتبطة بنقاط النهاية الخاصة بك تسمح أيضًا بحركة المرور من IPS Global Accelerator والمنافذ المطلوبة ، حيث تعمل مجموعات الأمان و ACL على الشبكة معًا للتحكم في حركة المرور [6].
- عند استخدام مسرعات التوجيه المخصصة ، تأكد من أن الشبكة ACLs تسمح لحركة المرور إلى المنافذ المحددة المستخدمة للتوجيه الحتمي إلى مثيلات EC2 داخل الشبكات الفرعية [6] [8].

باتباع هذه الخطوات ، يمكنك تكوين ACLs الشبكة بشكل صحيح لتأمين وتمكين تدفق حركة المرور لنقاط نهاية AWS Global Accelerator.

الاستشهادات:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://softwareengineering.stackexchange.com/questions/414351/a-recipe-for-anling-an-aws-network-request-from-t-to-finish-at-global-scal
[6]
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch؟v=cuyvztd9vke