Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon 글로벌 가속기를위한 네트워크 ACL을 구성하는 단계는 무엇입니까?


글로벌 가속기를위한 네트워크 ACL을 구성하는 단계는 무엇입니까?


AWS Global Accelerator의 네트워크 ACL (Access Control Lists)을 구성하려면 다음을 수행하십시오.

1. 글로벌 가속기와 네트워크 ACL의 역할을 이해
네트워크 ACL은 VPC 내 서브넷 레벨에서 인바운드 및 아웃 바운드 트래픽을 제어하는 ​​무국적 방화벽입니다. 하나 이상의 AWS 영역에서로드 밸런서 또는 EC2 인스턴스와 같은 엔드 포인트로 트래픽을 라우팅하는 Global Accelerator를 사용하는 경우 이러한 엔드 포인트를 호스팅하는 서브넷과 관련된 네트워크 ACL이 필요한 트래픽을 허용해야합니다. 여기에는 글로벌 가속기의 정적 IP 주소와 응용 프로그램이 사용하는 포트의 트래픽이 포함됩니다 [3] [6].

2. 엔드 포인트를 호스팅하는 서브넷을 식별하십시오
글로벌 가속기가 트래픽을 경로로 돌리는 엔드 포인트 (예 : 애플리케이션로드 밸런서, 네트워크로드 밸런서 또는 EC2 인스턴스)가 포함 된 VPC 서브넷을 결정하십시오. 사용자 정의 라우팅 가속기의 경우 하나 이상의 VPC 서브넷을 엔드 포인트로 추가합니다 [6] [8].

3. 글로벌 가속기 IP 주소 범위를 검토하십시오
Global Accelerator는 여러 AWS 에지 위치에서 방송되는 정적 IP 주소를 사용합니다. AWS는 Global Accelerator에서 사용하는 IP 주소 범위를 게시합니다. 전 세계 가속기의 트래픽을 허용하기 위해 네트워크 ACL 규칙에 사용자 정의 접두사 목록을 작성하거나 이러한 IP 범위를 포함시켜야합니다 [4].

4. 네트워크 ACL에 대한 인바운드 규칙을 구성합니다
- 포트에서 인바운드 트래픽을 허용합니다. 응용 프로그램이 듣는 것 (예 : TCP 포트 80, 443 또는 사용자 정의 포트).
- 글로벌 가속기 IP 주소 범위 또는 접두사 목록에서 인바운드 트래픽을 허용합니다. 이를 통해 Global Accelerator가 라우팅 한 트래픽이 엔드 포인트에 도달 할 수 있습니다.
- 네트워크 ACLS 프로세스 규칙이 숫자 순서대로 규칙을 올바르게 주문하고 첫 번째 일치 규칙이 적용되므로 규칙이 올바르게 주문되도록하십시오 [3] [6].

5. 네트워크 ACL에 대한 아웃 바운드 규칙을 구성합니다
- 필요에 따라 소스 IP 및 포트에 대한 아웃 바운드 응답을 허용합니다. 네트워크 ACL은 상태가 없으므로 인바운드 요청에 해당하는 아웃 바운드 트래픽을 명시 적으로 허용해야합니다.
- 일반적으로 클라이언트 또는 글로벌 가속기 엔드 포인트에 대한 반환 트래픽을 지원하기 위해 전세 포트 (예 : TCP 포트 1024-65535)로 아웃 바운드 트래픽을 허용합니다 [3].

6. 네트워크 ACL을 적절한 서브넷과 연결합니다
-VPC 콘솔에서 구성된 네트워크 ACL을 글로벌 가속기 엔드 포인트가있는 서브넷과 연결하십시오.
- 각 서브넷은 한 번에 하나의 네트워크 ACL과 만 연결될 수 있으므로 구성중인 ACL이 모든 관련 서브넷에 적용되어 있는지 확인하십시오 [3].

7. 트래픽 흐름을 테스트하고 검증하십시오
- 네트워크 ACL을 구성한 후 글로벌 가속기의 트래픽이 엔드 포인트에 올바르게 도달하는 것을 테스트하십시오.
- 여러 계정 및 서브넷을 관리하는 경우 VPC 흐름 로그 또는 AWS 방화벽 관리자 규정 준수 보고서와 같은 도구를 사용하십시오. 방화벽 관리자는 AWS 조직의 네트워크 ACL 구성을 자동화하고 모니터링 할 수 있습니다 [3].

8. 선택 사항 : 중앙 집중식 관리를 위해 AWS 방화벽 관리자를 사용하십시오
- 여러 계정 또는 다수의 서브넷을 관리하는 경우 AWS 방화벽 관리자를 사용하여 네트워크 ACL 정책을 정의하고 시행하는 것이 좋습니다.
- 방화벽 관리자는 새 서브넷에 네트워크 ACL 구성을 자동으로 적용하고 준수 상태를보고 할 수 있습니다 [3].

** 추가 메모 :
- 엔드 포인트와 관련된 보안 그룹이 보안 그룹과 네트워크 ACL이 트래픽을 제어하기 위해 함께 협력함에 따라 글로벌 가속기 IP 및 필요한 포트의 트래픽을 허용하는지 확인하십시오 [6].
- 사용자 정의 라우팅 가속기를 사용할 때 네트워크 ACL이 서브넷 내 EC2 인스턴스로 결정 론적 라우팅에 사용되는 특정 포트로 트래픽을 허용하는지 확인하십시오 [6] [8].

이러한 단계를 수행하면 네트워크 ACL을 올바르게 구성하여 AWS Global Accelerator 엔드 포인트의 트래픽 흐름을 보호하고 활성화 할 수 있습니다.

인용 :
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-lworks.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-securitygroup
[5] https://softwareengineering.stackexchange.com/questions/414351/a-recipe-for-handling-an-aws-network-request-from-start-to-finish-at-global-scal
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-lobal-accelerator-custom-routing-accelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke