Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Jaké jsou kroky k konfiguraci síťových ACL pro globální akcelerátor


Jaké jsou kroky k konfiguraci síťových ACL pro globální akcelerátor


Chcete -li nakonfigurovat síťové ACLS (seznamy řízení přístupu) pro Global Accelerator AWS, postupujte podle těchto podrobných kroků:

1. Pochopte roli síťových ACL s globálním akcelerátorem
Síťové ACL jsou firewally bez státní příslušnosti, které řídí příchozí a odchozí provoz na úrovni podsítě v rámci vašeho VPC. Při použití globálního akcelerátoru, který směřuje k provozu k koncovým bodům, jako jsou vyvažovače zatížení nebo instance EC2 v jednom nebo více regionech AWS, musíte zajistit, aby síťová ACL spojená s podsítěmi hostujícími tyto koncové body umožnily nezbytný provoz. To zahrnuje provoz ze statických IP adres Global Accelerator a porty, které vaše aplikace používá [3] [6].

2. Identifikujte podsítě hostující vaše koncové body
Zjistěte, které podsítě VPC obsahují koncové body (např. Vyvažování zatížení aplikací, vyvažovače síťového zatížení nebo instance EC2), ke kterému bude globální akcelerátor směrovat provoz. Pro vlastní akcelerátor směrování přidáte jednu nebo více podsítí VPC jako koncové body [6] [8].

3. přezkoumání rozsahů IP adresy Global Accelerator
Global Accelerator používá statické IP adresy, které jsou Anycast z více míst AWS Edge. AWS publikuje rozsahy IP adresy používané Global Accelerator. Měli byste vytvořit vlastní seznamy předpony nebo zahrnout tyto rozsahy IP ve vaší síti ACL pravidla, aby umožňovaly provoz z globálního akcelerátoru [4].

4. Nakonfigurujte příchozí pravidla pro síťové ACLS
- Povolte příchozí provoz na portech, které vaše aplikace poslouchá na (např. TCP porty 80, 443 nebo vlastní porty).
- Povolte příchozí provoz z rozsahů IP adres Global Accelerator IP nebo seznamů předpony. Tím je zajištěno, že provoz směrovaný globálním akcelerátorem může dosáhnout vašich koncových bodů.
- Zajistěte, aby byla pravidla uspořádána správně, protože v pořadí pořadí pořadí procesů síťové ACLS a je použito první pravidlo porovnávání [3] [6].

5. Konfigurace odchozích pravidel pro síťové ACLS
- Povolte odchozí odpovědi na zdrojové IPS a porty podle potřeby. Vzhledem k tomu, že síť ACLS jsou bez státní příslušnosti, musíte výslovně povolit odchozí provoz, který odpovídá příchozím požadavkům.
- Obvykle umožňují odchozí provoz na pomíjivé porty (např. Porty TCP 1024-65535) podporovat návratový provoz klientům nebo globálním koncovým bodům akcelerátoru [3].

6. Přidružení sítě ACL s příslušnými podsítími
- V konzole VPC přiřaďte nakonfigurovanou síť ACL s podsítími, kde jsou koncové body globálního akcelerátoru.
- Každá podsíť může být spojena pouze s jednou síťovou ACL najednou, takže se ujistěte, že ACL, kterou konfigurujete, je aplikováno na všechny relevantní podsítky [3].

7. Testujte a ověřte tok provozu
- Po konfiguraci síťových ACLS otestujte, že provoz z globálního akcelerátoru správně dosahuje vašich koncových bodů.
- Pokud spravujete více účtů a podsítí, použijte nástroje jako protokoly VPC Flow nebo AWS Firewall Manager. Správce firewall může pomoci automatizovat a sledovat konfigurace ACL v síti napříč vaší organizací AWS [3].

8. Volitelné: Pro centralizované správy použijte AWS Firewall Manager
- Pokud spravujete více účtů nebo velkého počtu podsítí, zvažte použití AWS Firewall Manager k definování a vymáhání síťových zásad ACL centrálně.
- Správce firewall může automaticky aplikovat síťové konfigurace ACL na nové podsítě a hlásit stav shody [3].

** Další poznámky:
- Zajistěte, aby skupiny zabezpečení spojené s vašimi koncovými body také umožňovaly provoz z globálních IP Accelerator IP a požadovaných portů, protože skupiny zabezpečení a síťové ACL spolupracují na kontrole provozu [6].
- Při použití vlastních směrovacích urychlovačů se ujistěte, že síťové ACL umožňují provoz na konkrétních portech používaných pro deterministické směrování do instancí EC2 v podsítích [6] [8].

Dodržováním těchto kroků můžete správně nakonfigurovat síťové ACLS tak, aby zajistily a povolily tok provozu pro koncové body Global Accelerator AWS.

Citace:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://softwareEngineering.stackexchange.com/questions/414351/a-recipe-for-andling-an-aws-network-request-fart-to-finish-at-global-scal
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-global-accelerator-úm-rowing-accelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=CuyvZtd9vke