Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Ποια είναι τα βήματα για τη διαμόρφωση του δικτύου ACLs για το Global Accelerator


Ποια είναι τα βήματα για τη διαμόρφωση του δικτύου ACLs για το Global Accelerator


Για να διαμορφώσετε το δίκτυο ACLs (λίστες ελέγχου πρόσβασης) για το AWS Global Accelerator, ακολουθήστε αυτά τα λεπτομερή βήματα:

1. Κατανοήστε το ρόλο των ACL του δικτύου με το Global Accelerator
Τα ACL Network είναι τείχη προστασίας ανιθαγενών που ελέγχουν την εισερχόμενη και εξερχόμενη κυκλοφορία σε επίπεδο υποδικτύου στο VPC σας. Όταν χρησιμοποιείτε το Global Accelerator, ο οποίος δρομολογεί την κυκλοφορία σε τελικά σημεία, όπως οι εξισορροπητές φορτίου ή οι περιπτώσεις EC2 σε μία ή περισσότερες περιοχές AWS, πρέπει να διασφαλίσετε ότι τα ACL του δικτύου που σχετίζονται με τα υποδίκτυα που φιλοξενούν αυτά τα τελικά σημεία επιτρέπουν την απαραίτητη κυκλοφορία. Αυτό περιλαμβάνει την κυκλοφορία από τις στατικές διευθύνσεις IP του Global Accelerator και τις θύρες που χρησιμοποιεί η εφαρμογή σας [3] [6].

2. Προσδιορίστε τα υποδίκτυα που φιλοξενούν τα τελικά σας σημεία
Προσδιορίστε ποια υποδίκτυα VPC περιέχουν τα τελικά σημεία (π.χ. εξισορρόπηση φορτίου εφαρμογής, εξισορρόπηση φορτίου δικτύου ή περιπτώσεις EC2) που ο Global Accelerator θα δρομολογήσει την κυκλοφορία. Για έναν προσαρμοσμένο επιταχυντή δρομολόγησης, προσθέτετε ένα ή περισσότερα υποδίκτυα VPC ως τελικά σημεία [6] [8].

3. Επανεξέταση των περιοχών διευθύνσεων IP Global Accelerator
Το Global Accelerator χρησιμοποιεί στατικές διευθύνσεις IP που είναι οποιοδήποτεcast από πολλαπλές θέσεις AWS Edge. Το AWS δημοσιεύει τις περιοχές διεύθυνσης IP που χρησιμοποιούνται από τον Global Accelerator. Θα πρέπει να δημιουργήσετε προσαρμοσμένες λίστες προθέσεων ή να συμπεριλάβετε αυτές τις περιοχές IP στους κανόνες ACL του δικτύου σας για να επιτρέψετε την κυκλοφορία από το Global Accelerator [4].

4. Διαμορφώστε τους εισερχόμενους κανόνες σε ACL του δικτύου
- Επιτρέψτε την εισερχόμενη κυκλοφορία στις θύρες που η εφαρμογή σας ακούει (π.χ. θύρες TCP 80, 443 ή προσαρμοσμένες θύρες).
- Επιτρέψτε την εισερχόμενη κίνηση από τις περιοχές διεύθυνσης IP Global Accelerator ή τις λίστες προθέσεων. Αυτό εξασφαλίζει ότι η κυκλοφορία που οδηγείται από τον Global Accelerator μπορεί να φτάσει στα τελικά σημεία σας.
- Βεβαιωθείτε ότι οι κανόνες διατάσσονται σωστά, καθώς εφαρμόζεται κανόνες διαδικασίας ACLS δικτύου και ο πρώτος κανόνας αντιστοίχισης εφαρμόζεται [3] [6].

5. Διαμορφώστε τους εξερχόμενους κανόνες σε ACL του δικτύου
- Επιτρέψτε τις εξερχόμενες απαντήσεις στις IP και τις θύρες πηγής, ανάλογα με τις ανάγκες. Δεδομένου ότι τα ACL του δικτύου είναι απάθεια, πρέπει να επιτρέψετε ρητά την εξερχόμενη κυκλοφορία που αντιστοιχεί σε εισερχόμενα αιτήματα.
- Συνήθως, επιτρέψτε την εξερχόμενη κυκλοφορία σε εφήμερες θύρες (π.χ. θύρες TCP 1024-65535) για να υποστηρίξουν την επισκεψιμότητα επιστροφής σε πελάτες ή παγκόσμια τελικά σημεία επιταχυντών [3].

6.
- Στην κονσόλα VPC, συσχετίστε το διαμορφωμένο ACL δικτύου με τα υποδίκτυα όπου βρίσκονται τα τελικά σημεία του παγκόσμιου επιταχυντή σας.
- Κάθε υποδίκτυο μπορεί να συσχετιστεί μόνο με ένα ACL δικτύου κάθε φορά, οπότε βεβαιωθείτε ότι το ACL που διαμορφώνετε εφαρμόζεται σε όλα τα σχετικά υποδίκτυα [3].

7. Δοκιμή και επικύρωση ροής κυκλοφορίας
- Μετά τη διαμόρφωση των ACL του δικτύου, δοκιμάστε ότι η κυκλοφορία από το Global Accelerator φτάνει σωστά στα τελικά σημεία σας.
- Χρησιμοποιήστε εργαλεία όπως τα αρχεία καταγραφής ροής VPC ή το AWS Firewall Manager Compliance Reports εάν διαχειρίζεστε πολλούς λογαριασμούς και υποδίκτυα. Το Firewall Manager μπορεί να βοηθήσει στην αυτοματοποίηση και την παρακολούθηση των διαμορφώσεων ACL δικτύου σε ολόκληρο τον οργανισμό AWS [3].

8. Προαιρετικό: Χρησιμοποιήστε το AWS Firewall Manager για κεντρική διαχείριση
- Εάν διαχειρίζεστε πολλούς λογαριασμούς ή μεγάλο αριθμό υποδίκτυρων, σκεφτείτε να χρησιμοποιήσετε κεντρικά τις πολιτικές ACL δικτύου.
- Ο διαχειριστής τείχους προστασίας μπορεί να εφαρμόσει αυτόματα τις διαμορφώσεις ACL δικτύου σε νέα υποδίκτυα και να αναφέρει την κατάσταση συμμόρφωσης [3].

** Πρόσθετες σημειώσεις:
- Βεβαιωθείτε ότι οι ομάδες ασφαλείας που σχετίζονται με τα τελικά σας σημεία επιτρέπουν επίσης την κυκλοφορία από τα IPs Global Accelerator και τις απαιτούμενες θύρες, καθώς οι ομάδες ασφαλείας και οι ACL του δικτύου συνεργάζονται για τον έλεγχο της κυκλοφορίας [6].
- Όταν χρησιμοποιείτε επιταχυντές προσαρμοσμένης δρομολόγησης, βεβαιωθείτε ότι τα ACL του δικτύου επιτρέπουν την κυκλοφορία στις συγκεκριμένες θύρες που χρησιμοποιούνται για την ντετερμινιστική δρομολόγηση σε περιπτώσεις EC2 εντός των υποδίκων [6] [8].

Ακολουθώντας αυτά τα βήματα, μπορείτε να διαμορφώσετε σωστά τα ACL του δικτύου για να εξασφαλίσετε και να ενεργοποιήσετε τη ροή της κυκλοφορίας για τα τελικά σημεία AWS Global Accelerator.

Αναφορές:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by securitygroup
[5] https://softwareengineering.stackexchange.com/questions/414351/a-recipe-for-handling-an-aws-network-request-from-to-finish-at-clobal-scal
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-global-accelerator-custom-routing-ccelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke