Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon グローバルアクセラレータ用のネットワークACLSを構成する手順は何ですか


グローバルアクセラレータ用のネットワークACLSを構成する手順は何ですか


AWSグローバルアクセラレータ用のネットワークACL(アクセス制御リスト)を構成するには、次の詳細な手順に従ってください。

1.グローバルアクセラレータを使用したネットワークACLの役割を理解する
ネットワークACLは、VPC内のサブネットレベルでインバウンドトラフィックとアウトバウンドトラフィックを制御するステートレスファイアウォールです。 1つ以上のAWS領域のロードバランサーやEC2インスタンスなどのエンドポイントにトラフィックをルーティングするグローバルアクセラレータを使用する場合、これらのエンドポイントをホストするサブネットに関連付けられたネットワークACLが必要なトラフィックを可能にすることを確認する必要があります。これには、Global Acceleratorの静的IPアドレスとアプリケーションが使用するポートからのトラフィック[3] [6]が含まれます。

2.エンドポイントをホストするサブネットを特定します
グローバルアクセラレータがトラフィックをルーティングするエンドポイント(アプリケーションロードバランサー、ネットワークロードバランサー、またはEC2インスタンスなど)を含むVPCサブネットを決定します。カスタムルーティングアクセラレータの場合、エンドポイント[6] [8]として1つ以上のVPCサブネットを追加します。

3.グローバルアクセラレータIPアドレス範囲を確認します
Global Acceleratorは、複数のAWSエッジの場所からAnycastである静的IPアドレスを使用します。 AWSは、Global Acceleratorが使用するIPアドレス範囲を公開しています。カスタムプレフィックスリストを作成するか、ネットワークACLルールにこれらのIP範囲を含めて、グローバルアクセラレータからのトラフィックを許可する必要があります[4]。

4.ネットワークACLSでインバウンドルールを構成します
- アプリケーションのインバウンドトラフィックが耳を傾けます(たとえば、TCPポート80、443、またはカスタムポートなど)。
- グローバルアクセラレータIPアドレス範囲またはプレフィックスリストからのインバウンドトラフィックを許可します。これにより、グローバルアクセラレータによってルーティングされるトラフィックがエンドポイントに到達できるようになります。
- ネットワークACLSが数字の順序でルールを処理し、最初の一致するルールが適用されるため、ルールが正しく順序付けられることを確認します[3] [6]。

5。ネットワークACLSでアウトバウンドルールを構成します
- 必要に応じて、ソースIPSおよびポートへのアウトバウンド応答を許可します。ネットワークACLはステートレスであるため、インバウンドリクエストに対応するアウトバウンドトラフィックを明示的に許可する必要があります。
- 通常、クライアントまたはグローバルアクセラレータエンドポイントへのリターントラフィックをサポートするために、短命ポート(TCPポート1024-65535など)へのアウトバウンドトラフィックを許可します[3]。

6。適切なサブネットを使用したネットワークACLを関連付けます
-VPCコンソールで、構成されたネットワークACLをグローバルアクセラレータエンドポイントが存在するサブネットに関連付けます。
- 各サブネットは、一度に1つのネットワークACLのみに関連付けることができるため、構成するACLがすべての関連サブネットに適用されていることを確認してください[3]。

7.トラフィックフローをテストおよび検証します
- ネットワークACLSを構成した後、グローバルアクセラレータからのトラフィックがエンドポイントに正しく到達することをテストします。
- 複数のアカウントとサブネットを管理する場合、VPCフローログやAWSファイアウォールマネージャーのコンプライアンスレポートなどのツールを使用します。ファイアウォールマネージャーは、AWS組織全体でネットワークACL構成を自動化および監視するのに役立ちます[3]。

8.オプション:集中管理にAWSファイアウォールマネージャーを使用します
- 複数のアカウントまたは多数のサブネットを管理する場合は、AWSファイアウォールマネージャーを使用して、ネットワークACLポリシーを中央に定義および実施することを検討してください。
- ファイアウォールマネージャーは、ネットワークACL構成を新しいサブネットに自動的に適用し、コンプライアンスステータスを報告できます[3]。

**追加のメモ:
- エンドポイントに関連するセキュリティグループが、セキュリティグループとネットワークACLが協力してトラフィックを制御するため、グローバルアクセラレータIPSおよび必要なポートからのトラフィックも許可することを確認します[6]。
- カスタムルーティングアクセラレータを使用する場合、ネットワークACLがサブネット内のEC2インスタンスへの決定論的ルーティングに使用される特定のポートへのトラフィックを可能にすることを確認します[6] [8]。

これらの手順に従うことにより、AWSグローバルアクセラレータエンドポイントのトラフィックフローを保護および有効にするために、ネットワークACLを適切に構成できます。

引用:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://softwareengineering.stackexchange.com/questions/414351/a-recipe-for-for-an-an-an-network-request-from-tart-aT-global-scal
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-global-accelerators-custom-routing-accelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke