Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Quelles sont les étapes pour configurer les ACL réseau pour l'accélérateur global


Quelles sont les étapes pour configurer les ACL réseau pour l'accélérateur global


Pour configurer les ACL réseau (listes de contrôle d'accès) pour AWS Global Accelerator, suivez ces étapes détaillées:

1. Comprendre le rôle des ACL de réseau avec l'accélérateur mondial
Les ACL de réseau sont des pare-feu sans état qui contrôlent le trafic entrant et sortant au niveau du sous-réseau au sein de votre VPC. Lorsque vous utilisez Global Accelerator, qui achemine le trafic vers des points de terminaison tels que les équilibreurs de charge ou les instances EC2 dans une ou plusieurs régions AWS, vous devez vous assurer que les ACL réseau associés aux sous-réseaux hébergeant ces points de terminaison permettent le trafic nécessaire. Cela inclut le trafic des adresses IP statiques de Global Accelerator et les ports que votre application utilise [3] [6].

2. Identifiez les sous-réseaux hébergeant vos points de terminaison
Déterminez quels sous-réseaux VPC contiennent les points de terminaison (par exemple, les équilibreurs de charge d'application, les équilibreurs de charge de réseau ou les instances EC2) que l'accélérateur global acheminera le trafic vers. Pour un accélérateur de routage personnalisé, vous ajoutez un ou plusieurs sous-réseaux VPC comme points de terminaison [6] [8].

3. Revoir les plages d'adresses IP globales de l'accélérateur
Global Accelerator utilise des adresses IP statiques qui sont anycast à partir de plusieurs emplacements AWS Edge. AWS publie les plages d'adresses IP utilisées par Global Accelerator. Vous devez créer des listes de préfixes personnalisées ou inclure ces gammes IP dans vos règles de réseau ACL pour permettre le trafic de l'accélérateur global [4].

4. Configurer les règles entrantes sur les ACL réseau
- Autoriser le trafic entrant sur les ports sur lesquels votre application écoute (par exemple, les ports TCP 80, 443 ou les ports personnalisés).
- Autoriser le trafic entrant à partir des plages d'adresses IP globales ou des listes de préfixes. Cela garantit que le trafic acheminé par l'accélérateur global peut atteindre vos points de terminaison.
- Assurez-vous que les règles sont ordonnées correctement, car les règles de processus de réseau ACLS dans l'ordre du nombre, et la première règle de correspondance est appliquée [3] [6].

5. Configurer les règles sortantes sur les ACL réseau
- Autoriser les réponses sortantes aux IPS et aux ports source si nécessaire. Étant donné que les ACL de réseau sont apatrides, vous devez explicitement autoriser le trafic sortant qui correspond aux demandes entrantes.
- En règle générale, permettez le trafic sortant vers les ports éphémères (par exemple, les ports TCP 1024-65535) pour prendre en charge le trafic de retour aux clients ou les points de terminaison de l'accélérateur mondial [3].

6. Associer les ACL du réseau aux sous-réseaux appropriés
- Dans la console VPC, associez le réseau de réseau configuré aux sous-réseaux où résident vos points de terminaison accélérateurs globaux.
- Chaque sous-réseau peut être associé à un seul réseau de réseau à la fois, assurez-vous donc que l'ACL que vous configurez est appliquée à tous les sous-réseaux pertinents [3].

7. tester et valider le flux de trafic
- Après la configuration des ACL réseau, testez ce trafic à partir de l'accélérateur global atteint correctement vos points de terminaison.
- Utilisez des outils comme VPC Flow Journaux ou AWS Firewall Manager Repliance Repliance si vous gérez plusieurs comptes et sous-réseaux. Le gestionnaire de pare-feu peut vous aider à automatiser et à surveiller les configurations de LCA réseau dans votre organisation AWS [3].

8. Facultatif: Utilisez AWS Firewall Manager pour la gestion centralisée
- Si vous gérez plusieurs comptes ou un grand nombre de sous-réseaux, envisagez d'utiliser AWS Firewall Manager pour définir et appliquer les stratégies de réseau ACL de manière centralisée.
- Le gestionnaire de pare-feu peut appliquer automatiquement les configurations de LCA réseau aux nouveaux sous-réseaux et signaler l'état de conformité [3].

** Remarques supplémentaires:
- Assurez-vous que les groupes de sécurité associés à vos points de terminaison permettent également le trafic des IP de l'accélérateur global et des ports requis, car les groupes de sécurité et les ACL de réseau fonctionnent ensemble pour contrôler le trafic [6].
- Lorsque vous utilisez des accélérateurs de routage personnalisés, assurez-vous que les ACL réseau permettent le trafic vers les ports spécifiques utilisés pour le routage déterministe vers les instances EC2 dans les sous-réseaux [6] [8].

En suivant ces étapes, vous pouvez correctement configurer les ACL de réseau pour sécuriser et activer le flux de trafic pour les points de terminaison AWS Global Accelerator.

Citations:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://softwareensineering.stackexchange.com/questions/414351/a-recipe-for-handling-an-aws-network-request-from-start-to-finish-at-global-scal
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-global-accelerator-constom-routing-accelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-startted.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke