Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Quali sono i passaggi per configurare gli ACL di rete per l'acceleratore globale


Quali sono i passaggi per configurare gli ACL di rete per l'acceleratore globale


Per configurare ACL di rete (elenchi di controllo degli accessi) per AWS Global Accelerator, seguire questi passaggi dettagliati:

1. Comprendi il ruolo degli ACL di rete con l'acceleratore globale
Gli ACL di rete sono firewall apolidi che controllano il traffico in entrata e in uscita a livello di sottorete all'interno del VPC. Quando si utilizza l'acceleratore globale, che instrada il traffico verso gli endpoint come i bilanciatori del carico o le istanze EC2 in una o più regioni AWS, è necessario assicurarsi che gli ACL di rete associati alle sottoreti che ospitano questi endpoint consentano il traffico necessario. Ciò include il traffico dagli indirizzi IP statici di Global Accelerator e le porte utilizzate dall'applicazione [3] [6].

2. Identifica le sottoreti che ospitano i tuoi endpoint
Determinare quali sotterranee VPC contengono gli endpoint (ad es. Bilanciatori del carico dell'applicazione, bilanciatori del carico di rete o istanze EC2) a cui l'acceleratore globale insulterà il traffico verso. Per un acceleratore di routing personalizzato, si aggiunge uno o più sottoreti VPC come endpoint [6] [8].

3. Rivedere le gamme di indirizzi IP dell'acceleratore globale
Global Accelerator utilizza indirizzi IP statici che sono Anycast da più posizioni AWS Edge. AWS pubblica gli intervalli di indirizzi IP utilizzati da Global Accelerator. Dovresti creare elenchi di prefissi personalizzati o includere queste gamme IP nelle regole ACL della rete per consentire il traffico dall'acceleratore globale [4].

4. Configurare le regole in entrata sugli ACL di rete
- Consenti il ​​traffico in entrata sulle porte che le applicazioni ascoltano (ad es. Porte TCP 80, 443 o porte personalizzate).
- Consenti il ​​traffico in entrata dagli intervalli di indirizzo IP dell'acceleratore globale o elenchi di prefissi. Ciò garantisce che il traffico inserito dall'acceleratore globale possa raggiungere i tuoi endpoint.
- Assicurarsi che le regole siano ordinate correttamente, come regole di processo ACLS di rete in ordine numerico e viene applicata la prima regola di corrispondenza [3] [6].

5. Configurare le regole in uscita sugli ACL di rete
- Consenti le risposte in uscita all'IPS e alle porte di origine, se necessario. Poiché gli ACL di rete sono apolidi, è necessario consentire esplicitamente il traffico in uscita che corrisponde alle richieste in entrata.
- In genere, consentire il traffico in uscita verso le porte effimere (ad es. Porte TCP 1024-65535) per supportare il traffico di ritorno ai clienti o agli endpoint di acceleratori globali [3].

6. Associare ACL di rete alle sottoreti appropriati
- Nella console VPC, associare la rete ACL configurata con le sottoreti in cui risiedono gli endpoint di acceleratore globale.
- Ogni sottorete può essere associata a un solo ACL di rete alla volta, quindi assicurarsi che l'ACL che si configura sia applicato a tutte le sottorete pertinenti [3].

7. Test e convalida del flusso di traffico
- Dopo aver configurato gli ACL di rete, testare il traffico dall'acceleratore globale raggiunge correttamente gli endpoint.
- Utilizzare strumenti come i registri di flusso VPC o i rapporti sulla conformità AWS Firewall Manager se si gestiscono più account e sottoreti. Firewall Manager può aiutare ad automatizzare e monitorare le configurazioni ACL di rete attraverso l'organizzazione AWS [3].

8. Opzionale: utilizzare AWS Firewall Manager per la gestione centralizzata
- Se gestisci più account o un gran numero di sottoreti, prendi in considerazione l'utilizzo di AWS Firewall Manager per definire e applicare le politiche ACL di rete centralmente.
- Firewall Manager può applicare automaticamente le configurazioni di ACL di rete su nuove sottoreti e lo stato di conformità dei rapporti [3].

** Note aggiuntive:
- Assicurarsi che i gruppi di sicurezza associati ai tuoi endpoint consentano anche il traffico da IPS Accelerator globali e le porte richieste, poiché i gruppi di sicurezza e gli ACL di rete lavorino insieme per controllare il traffico [6].
- Quando si utilizzano acceleratori di routing personalizzati, assicurarsi che gli ACL di rete consentano il traffico alle porte specifiche utilizzate per il routing deterministico alle istanze EC2 all'interno delle sottonetti [6] [8].

Seguendo questi passaggi, è possibile configurare correttamente gli ACL di rete per proteggere e abilitare il flusso di traffico per gli endpoint AWS Accelerator globale.

Citazioni:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalackcelerator--imit-endpoint-access-by-securitygroup
[5] https://softwareEngineering.stackexchange.com/questions/414351/a-recipe-for-handling-an-aws-network-request-from-start-to-finish-at-global-scal
[6] https://aws.amazon.com/blogs/networking-and-content-deleiver
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalackcelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke