Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Hvad er trinene til at konfigurere netværks -ACL'er til global accelerator


Hvad er trinene til at konfigurere netværks -ACL'er til global accelerator


For at konfigurere netværks ACL'er (adgangskontrollister) til AWS Global Accelerator skal du følge disse detaljerede trin:

1. Forstå rollen som netværksacls med global accelerator
Netværks ACL'er er statsløse firewalls, der kontrollerer indgående og udgående trafik på undernetniveau inden for din VPC. Når du bruger Global Accelerator, der ruter trafik til slutpunkter såsom belastningsbalancere eller EC2 -forekomster i en eller flere AWS -regioner, skal du sikre dig, at netværkets ACL'er, der er knyttet til de undernet, der er vært for disse slutpunkter, tillader den nødvendige trafik. Dette inkluderer trafik fra Global Accelerators statiske IP -adresser og de porte, som din applikation bruger [3] [6].

2. Identificer de undernet, der er vært for dine slutpunkter
Bestem, hvilke VPC -undernet der indeholder slutpunkterne (f.eks. Applikationsbelastningsbalancere, netværksbelastningsbalancere eller EC2 -forekomster), som den globale accelerator vil rute trafik til. For en brugerdefineret routingaccelerator tilføjer du et eller flere VPC -undernet som slutpunkter [6] [8].

3. Gennemgang Global Accelerator IP -adresse
Global Accelerator bruger statiske IP -adresser, der er anycast fra flere AWS -kantplaceringer. AWS offentliggør IP -adressen, der bruges af Global Accelerator. Du skal oprette brugerdefinerede præfikslister eller inkludere disse IP -intervaller i dine netværks ACL -regler for at tillade trafik fra Global Accelerator [4].

4. Konfigurer indgående regler på netværks -ACL'er
- Tillad indgående trafik på porte, som din applikation lytter til (f.eks. TCP -porte 80, 443 eller brugerdefinerede porte).
- Tillad indgående trafik fra den globale accelerator IP -adresseintervaller eller præfikslister. Dette sikrer, at trafik, der er dirigeret af Global Accelerator, kan nå dine slutpunkter.
- Sørg for, at reglerne bestilles korrekt, da Network ACLS -procesregler i antal rækkefølge, og den første matchende regel anvendes [3] [6].

5. Konfigurer udgående regler på netværks -ACL'er
- Tillad udgående svar på kilden IPS og porte efter behov. Da netværks -ACL'er er statsløse, skal du eksplicit tillade udgående trafik, der svarer til indgående anmodninger.
- Tillad typisk udgående trafik til flygtige porte (f.eks. TCP-porte 1024-65535) for at understøtte returneringstrafik til klienter eller globale acceleratorens endepunkter [3].

6. Associate Network ACL'er med de relevante undernet
- I VPC -konsollen skal du tilslutte det konfigurerede netværk ACL med de undernet, hvor dine globale accelerator -endepunkter er bosiddende.
- Hvert undernet kan kun tilknyttes en netværks ACL ad gangen, så sørg for, at den ACL, du konfigurerer, anvendes til alle relevante undernet [3].

7. Test og validering af trafikstrøm
- Efter konfiguration af netværkets ACL'er skal du teste, at trafik fra global accelerator når dine slutpunkter korrekt.
- Brug værktøjer som VPC Flow Logs eller AWS Firewall Manager Compliance Reports, hvis du administrerer flere konti og undernet. Firewall Manager kan hjælpe med at automatisere og overvåge netværks ACL -konfigurationer på tværs af din AWS -organisation [3].

8. Valgfrit: Brug AWS Firewall Manager til centraliseret ledelse
- Hvis du administrerer flere konti eller et stort antal undernet, skal du overveje at bruge AWS Firewall Manager til at definere og håndhæve netværks ACL -politikker centralt.
- Firewall Manager kan automatisk anvende netværks ACL -konfigurationer på nye undernet og rapportere overholdelsesstatus [3].

** Yderligere noter:
- Sørg for, at sikkerhedsgrupper, der er tilknyttet dine slutpunkter, også tillader trafik fra Global Accelerator IPS og krævede porte, da sikkerhedsgrupper og netværks -ACL'er arbejder sammen for at kontrollere trafik [6].
- Når du bruger brugerdefinerede routingacceleratorer, skal du sikre dig, at netværkets ACL'er tillader trafik til de specifikke porte, der bruges til deterministisk routing til EC2 -forekomster inden for undernet [6] [8].

Ved at følge disse trin kan du korrekt konfigurere netværks -ACL'er for at sikre og muliggøre trafikstrøm for AWS Global Accelerator Endpoints.

Citater:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
)
[5] https://softwareengineering.stackexchange.com/questions/414351/a-recipe-for-shandling-a-ws-network-request-from-start-to- til- at- at-global-cal
)
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduktion-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke