Verkko -ACLS: n (Access Control List) määrittäminen AWS Global Accelerator -sovellukselle seuraa näitä yksityiskohtaisia vaiheita:
1. Ymmärrä verkon ACLS: n rooli globaalin kiihdyttimen kanssa
Verkko ACL: t ovat kansalaisuudettomia palomuureja, jotka hallitsevat saapuvaa ja lähtevää liikennettä aliverkon tasolla VPC: ssä. Kun käytät globaalia kiihdytintä, joka reitittää liikennettä päätepisteille, kuten kuormituksen tasapainottajille tai EC2 -tapauksille yhdellä tai useammalla AWS Tämä sisältää liikennettä globaalista kiihdyttimen staattisista IP -osoitteista ja sovelluksesi käyttämistä porteista [3] [6].
2. Tunnista päätepisteitä isännöivät aliverkot
Määritä, mitkä VPC -aliverkot sisältävät päätepisteitä (esim. Sovelluskuorman tasapainottajia, verkkokuorman tasapainottajia tai EC2 -ilmentymiä), joihin globaali kiihdytin reitittää liikennettä. Mukautetun reitityskiihdyttimen osalta lisäät yhden tai useamman VPC
3. Tarkastele globaalia kiihdyttimen IP -osoitealueita
Global Accelerator käyttää staattisia IP -osoitteita, jotka ovat Anycast useista AWS -reunapaikoista. AWS julkaisee Global Acceleratorin käyttämät IP -osoitealueet. Sinun tulisi luoda mukautettuja etuliitteiden luetteloita tai sisällyttää nämä IP -alueet verkkoon ACL -säännöihin, jotta liikenne on globaalin kiihdytin [4].
4
- Salli saapuva liikenne, jonka sovelluksesi kuuntelee (esim. TCP -portit 80, 443 tai mukautetut portit).
- Salli saapuvan liikenteen globaalista kiihdyttimen IP -osoite- tai etuliitteiden luetteloista. Tämä varmistaa, että globaalin kiihdyttimen ohjaama liikenne voi saavuttaa päätepisteesi.
- Varmista, että säännöt on tilattu oikein, koska verkko ACLS -prosessisäännöt lukujärjestyksessä ja ensimmäistä sovitussääntöä sovelletaan [3] [6].
5. Määritä lähtevät säännöt verkon ACLS: ssä
- Anna lähtevien vastausten lähde -IP: iin ja portteihin tarvittaessa. Koska verkon ACL: t ovat kansalaisuudettomia, sinun on nimenomaisesti sallittava lähtevä liikenne, joka vastaa saapuvia pyyntöjä.
- Salli tyypillisesti lähtevän liikenteen lyhytaikaisten porttien (esim. TCP-portit 1024-65535) tukemaan palautusaikaa asiakkaille tai globaalien kiihdyttimen päätepisteille [3].
6. Associate Network ACL: t asianmukaisiin aliverkkoihin
- Yhdistä VPC -konsolissa määritetty verkko ACL aliverkkoihin, joissa globaalit kiihdyttimen päätepisteet sijaitsevat.
- Jokainen aliverkko voidaan liittää vain yhteen verkon ACL kerrallaan, joten varmista, että määrittämäsi ACL sovelletaan kaikkiin asiaankuuluviin aliverkkoihin [3].
7. Testaa ja validoi liikennevirta
- Verkon ACLS: n määrittämisen jälkeen testaa, että liikenne globaalista kiihdyttimestä saavuttaa päätepisteesi oikein.
- Käytä työkaluja, kuten VPC -virtauslokeja tai AWS -palomuurin hallinnan vaatimustenmukaisuusraportteja, jos hallitset useita tilejä ja aliverkkoja. Palomuurien hallinta voi auttaa automatisoimaan ja seuraamaan verkon ACL -kokoonpanoja koko AWS -organisaatiossa [3].
8. Valinnainen: Käytä AWS -palomuurin hallintaa keskitetylle johdolle
- Jos hallitset useita tilejä tai suurta määrää aliverkkoja, harkitse AWS -palomuurin hallinnan käyttöä verkon ACL -käytäntöjen määrittelemiseksi ja täytäntöönpanemiseksi keskitetysti.
–
** Muita huomautuksia:
- Varmista, että päätepisteisiisi liittyvät tietoturvaryhmät sallivat myös liikenteen globaalista kiihdyttimen IP: stä ja vaadittavat portit, koska turvallisuusryhmät ja verkon ACL: t toimivat yhdessä liikenteen hallitsemiseksi [6].
- Kun käytät mukautettuja reitityskiihdyttimiä, varmista, että verkon ACL: t sallivat liikenteen tiettyihin portteihin, joita käytetään deterministiseen reititykseen EC2 -ilmentymiin aliverkkojen sisällä [6] [8].
Näitä vaiheita noudattamalla verkon ACL: t voit oikein määrittää AWS -globaalien kiihdyttimen päätepisteiden liikennevirran turvaamiseksi ja sallimiseksi.
Viittaukset:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securityGroup
.
.
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke