Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Wat zijn de stappen om Network ACL's te configureren voor Global Accelerator


Wat zijn de stappen om Network ACL's te configureren voor Global Accelerator


Volg deze gedetailleerde stappen om netwerk ACL's (toegangscontroles) voor AWS Global Accelerator te configureren voor AWS Global Accelerator:

1. Begrijp de rol van netwerk -ACL's met Global Accelerator
Netwerk -ACL's zijn stateless firewalls die inkomende en uitgaande verkeer op het subnetniveau binnen uw VPC regelen. Bij het gebruik van Global Accelerator, die verkeer naar eindpunten routeert, zoals load balancers of EC2 -instanties in een of meer AWS -regio's, moet u ervoor zorgen dat de netwerk -ACL's die zijn gekoppeld aan de subnetten die deze eindpunten hosten, het benodigde verkeer mogelijk maken. Dit omvat verkeer van de statische IP -adressen van Global Accelerator en de poorten die uw applicatie gebruikt [3] [6].

2. Identificeer de subnetten die uw eindpunten hosten
Bepaal naar welke VPC -subnetten de eindpunten bevatten (bijv. Applicatie -laadbalancers, netwerk load balancers of EC2 -instanties) waar Global Accelerator verkeer naar zal leiden. Voor een aangepaste routing -versneller voegt u een of meer VPC -subnetten toe als eindpunten [6] [8].

3. Beoordeel Global Accelerator IP -adresbereiken
Global Accelerator maakt gebruik van statische IP -adressen die een cast zijn van meerdere AWS Edge -locaties. AWS publiceert de IP -adresbereiken die worden gebruikt door Global Accelerator. U moet aangepaste voorvoegsellijsten maken of deze IP -bereiken opnemen in uw Network ACL -regels om verkeer van Global Accelerator toe te staan ​​[4].

4. Configureer inkomende regels op netwerk ACL's
- Laat inkomend verkeer toe op de poorten waar uw applicatie naar luistert (bijv. TCP -poorten 80, 443 of aangepaste poorten).
- Laat inkomend verkeer toe van de Global Accelerator IP -adresbereiken of voorvoegsellijsten. Dit zorgt ervoor dat het verkeer door Global Accelerator uw eindpunten kan bereiken.
- Zorg ervoor dat de regels correct worden geordend, aangezien Network ACLS -procesregels in nummerorder en de eerste matching -regel wordt toegepast [3] [6].

5. Uitgaande regels configureren op netwerk ACL's
- Sta indien nodig uitgaande reacties toe op de bron IPS en poorten. Aangezien Network ACL's staatloos zijn, moet u expliciet uitgaande verkeer toestaan ​​dat overeenkomt met inkomende verzoeken.
- Laat meestal uitgaande verkeer toe naar kortstondige poorten (bijv. TCP-poorten 1024-65535) ter ondersteuning van retourverkeer naar klanten of globale versneller-eindpunten [3].

6. Associate Network ACL's met de juiste subnetten
- Koppel in de VPC -console de geconfigureerde netwerk ACL aan de subnetten waar uw globale versneller -eindpunten zich bevinden.
- Elk subnet kan worden gekoppeld aan slechts één netwerk ACL tegelijk, dus zorg ervoor dat de ACL die u configureert wordt toegepast op alle relevante subnetten [3].

7. Test en valideer de verkeersstroom
- Na het configureren van de Network ACL's, test dat verkeer van Global Accelerator uw eindpunten correct bereikt.
- Gebruik tools zoals VPC Flow Logs of AWS Firewall Manager Compliance Reports Als u meerdere accounts en subnetten beheert. Firewall Manager kan helpen bij het automatiseren en volgen van ACL -configuraties van netwerk in uw AWS -organisatie [3].

8. Optioneel: gebruik AWS Firewall Manager voor gecentraliseerd management
- Als u meerdere accounts of een groot aantal subnetten beheert, overweeg dan om AWS Firewall Manager te gebruiken om het ACL -beleid van het netwerk centraal te definiëren en af ​​te dwingen.
- Firewall Manager kan automatisch netwerk ACL -configuraties toepassen op nieuwe subnetten en de status van de naleving rapporteren [3].

** Aanvullende opmerkingen:
- Zorg ervoor dat beveiligingsgroepen die aan uw eindpunten zijn gekoppeld, ook verkeer toestaan ​​van Global Accelerator IP's en vereiste poorten, omdat beveiligingsgroepen en netwerk -ACL's samenwerken om verkeer te regelen [6].
- Zorg er bij het gebruik van aangepaste routing -versnellers voor dat de Network ACL's verkeer toestaan ​​naar de specifieke poorten die worden gebruikt voor deterministische routering naar EC2 -instanties binnen de subnetten [6] [8].

Door deze stappen te volgen, kunt u netwerk ACL's correct configureren om verkeersstroom te beveiligen en mogelijk te maken voor AWS Global Accelerator -eindpunten.

Citaten:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securityGroup
[5] https://softwareGineering.stackexchange.com/questions/414351/a-recipe-for-handling-an-aws-network-request-start-to-finish-at-global-cal
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-abal-accelerator-custom-routing-accelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-arted.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke