Um Netzwerk -ACLs (Access Control Lists) für AWS Global Accelerator zu konfigurieren, befolgen Sie diese detaillierten Schritte:
1. Verstehen Sie die Rolle von Netzwerk -ACLs mit Global Accelerator
Netzwerk -ACLs sind staatenlose Firewalls, die eingehende und ausgehende Verkehr auf Subnetzebene innerhalb Ihres VPC steuern. Wenn Sie Global Accelerator verwenden, der den Verkehr an Endpunkte wie Lastausgleicher oder EC2 -Instanzen in einem oder mehreren AWS -Regionen weiterleitet, müssen Sie sicherstellen, dass das mit den Subnets, die diese Endpunkte gehostete Netzwerk -ACLs, zugeordnet sind, den erforderlichen Datenverkehr zulassen. Dies beinhaltet den Datenverkehr von statischen IP -Adressen des globalen Beschleunigers und den Ports, die Ihre Anwendung verwendet [3] [6].
2. Identifizieren Sie die Subnetze, die Ihre Endpunkte veranstalten
Bestimmen Sie, welche VPC -Subnetze die Endpunkte (z. B. Anwendungslastausgleiche, Netzwerklastausgleicher oder EC2 -Instanzen) enthalten, an die der globale Beschleuniger den Verkehr weiterleitet. Für einen benutzerdefinierten Routing -Beschleuniger fügen Sie ein oder mehrere VPC -Subnetze als Endpunkte hinzu [6] [8].
3.. Überprüfen Sie die Global Accelerator IP -Adressbereiche
Global Accelerator verwendet statische IP -Adressen, die Anycast von mehreren AWS -Kantenorten stammen. AWS veröffentlicht die von Global Accelerator verwendeten IP -Adressbereiche. Sie sollten benutzerdefinierte Präfixlisten erstellen oder diese IP -Bereiche in Ihre Netzwerk -ACL -Regeln einbeziehen, um den Datenverkehr von Global Accelerator [4] zu ermöglichen.
4. Konfigurieren Sie eingehende Regeln für Netzwerk -ACLs
- Zulassen Sie eingehenden Verkehr in den Ports, die Ihre Anwendung hört (z. B. TCP -Ports 80, 443 oder benutzerdefinierte Ports).
- Ermöglichen Sie eingehender Verkehr über die Global Accelerator IP -Adressbereiche oder Präfixlisten. Dies stellt sicher, dass der von Global Accelerator geleitete Verkehr Ihre Endpunkte erreichen kann.
- Stellen Sie sicher, dass die Regeln als korrekt bestellt werden, da die Netzwerk -ACLS -Verfahrensregeln in Zahlenreihenfolge und die erste Übereinstimmungsregel angewendet werden [3] [6].
5. Konfigurieren Sie Outbound -Regeln in Netzwerk -ACLs
- Ermöglichen Sie nach Bedarf ausgehende Antworten auf die Quell -IPs und Ports. Da Netzwerk -ACLs staatenlos sind, müssen Sie explizit ausgehende Datenverkehr zulassen, der eingehende Anforderungen entspricht.
- Lassen Sie den ausgehenden Datenverkehr in der Regel an kurzfristige Anschlüsse (z. B. TCP-Ports 1024-65535), um den Rücklaufverkehr an Clients oder die globalen Beschleunigerendpunkte zu unterstützen [3].
6. Verbinden Sie die Netzwerk -ACLs mit den entsprechenden Subnetzen
- Verbinden Sie in der VPC -Konsole das konfigurierte Netzwerk -ACL mit den Subnetzen, in denen sich Ihre globalen Beschleunigerendpunkte befinden.
- Jedes Subnetz kann jeweils nur einem Netzwerk -ACL zugeordnet werden. Stellen Sie daher sicher, dass die von Ihnen konfigurierte ACL auf alle relevanten Subnetze angewendet wird [3].
7. Test und validieren Sie den Verkehrsfluss
- Testen Sie nach Konfiguration des Netzwerk -ACLS, dass der Datenverkehr von Global Accelerator Ihre Endpunkte korrekt erreicht.
- Verwenden Sie Tools wie VPC -Flow -Protokolle oder AWS Firewall Manager Compliance -Berichte, wenn Sie mehrere Konten und Subnetze verwalten. Der Firewall -Manager kann bei der Automatisierung und Überwachung von Netzwerk -ACL -Konfigurationen in Ihrer AWS -Organisation [3] helfen.
8. Optional: Verwenden Sie AWS Firewall Manager für das zentralisierte Management
- Wenn Sie mehrere Konten oder eine große Anzahl von Subnetzen verwalten, sollten Sie den AWS -Firewall -Manager verwenden, um die Netzwerk -ACL -Richtlinien zentral zu definieren und durchzusetzen.
- Der Firewall -Manager kann automatisch Netzwerk -ACL -Konfigurationen auf neue Subnetze und den Einhaltung von Berichten anwenden [3].
** Zusätzliche Hinweise:
- Stellen Sie sicher, dass Sicherheitsgruppen, die Ihren Endpunkten zugeordnet sind, auch den Datenverkehr von globalen Beschleuniger -IPs und die erforderlichen Ports ermöglichen, da Sicherheitsgruppen und Netzwerk -ACLs zusammenarbeiten, um den Verkehr zu steuern [6].
- Stellen Sie bei Verwendung benutzerdefinierter Routing -Beschleuniger sicher, dass das Netzwerk -ACLs den Datenverkehr zu den spezifischen Ports ermöglichen, die für die deterministische Routing an EC2 -Instanzen innerhalb der Subnetze [6] [8] verwendet werden.
Wenn Sie diese Schritte ausführen, können Sie Netzwerk -ACLs ordnungsgemäß konfigurieren, um den Verkehrsfluss für AWS Global Accelerator -Endpunkte zu sichern und zu aktivieren.
Zitate:
[1] https://docs.amazon.com/global-accelerator/latest/dg/inTroduction-how-it-works.html
[2] https://docs.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://softwareEngineering.stackexchange.com/questions/414351/a-recipe-for-handling-an-aws-network-request-from-start-t--t-at-at-global-scal
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-global-accelerator-custom-routing-accelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.amazon.com/global-accelerator/latest/dg/inTroduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke