Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Hva er trinnene for å konfigurere nettverk ACL -er for global akselerator


Hva er trinnene for å konfigurere nettverk ACL -er for global akselerator


Følg disse detaljerte trinnene for å konfigurere Network ACLS (Access Control Lists) for AWS Global Accelerator:

1. Forstå rollen til nettverk ACL -er med global akselerator
Nettverk ACL -er er statsløse brannmurer som kontrollerer inngående og utgående trafikk på undernivå i VPC. Når du bruker Global Accelerator, som ruter trafikk til sluttpunkter som belastningsbalanser eller EC2 -forekomster i ett eller flere AWS -regioner, må du sørge for at nettverk ACL -er tilknyttet undernettene som er vert for disse endepunktene, tillater nødvendig trafikk. Dette inkluderer trafikk fra Global Accelerators statiske IP -adresser og portene applikasjonen din bruker [3] [6].

2. Identifiser undernettene som er vert for sluttpunktene dine
Bestem hvilke VPC -undernett som inneholder endepunktene (f.eks. Balanseringsbalansere, nettverksbelastningsbalanser eller EC2 -forekomster) som global akselerator vil rute trafikken til. For en tilpasset rutingsakselerator legger du til ett eller flere VPC -undernett som endepunkter [6] [8].

3. Gjennomgå Global Accelerator IP -adresseområdene
Global Accelerator bruker statiske IP -adresser som er Anycast fra flere AWS Edge -lokasjoner. AWS publiserer IP -adresseområdene som brukes av Global Accelerator. Du bør opprette tilpassede prefikslister eller inkludere disse IP -områdene i nettverk ACL -reglene for å tillate trafikk fra global akselerator [4].

4. Konfigurer inngående regler på nettverk ACLS
- Tillat inngående trafikk på portene applikasjonen din lytter til (f.eks. TCP -porter 80, 443 eller tilpassede porter).
- Tillat inngående trafikk fra Global Accelerator IP -adresseområder eller prefikslister. Dette sikrer at trafikk som er dirigert med global akselerator, kan nå sluttpunktene dine.
- Forsikre deg om at reglene bestilles riktig, som nettverk ACLS -prosessregler i antall ordre, og den første samsvarende regelen brukes [3] [6].

5. Konfigurer utgående regler på nettverk ACLS
- Tillat utgående svar på kilde IP -er og porter etter behov. Siden nettverk ACL -er er statsløse, må du eksplisitt tillate utgående trafikk som tilsvarer inngående forespørsler.
- Tillat vanligvis utgående trafikk til flyktige havner (f.eks. TCP-porter 1024-65535) for å støtte returtrafikk til klienter eller globale akseleratorendepunkter [3].

6. Assosierte nettverk ACL -er med de aktuelle undernettene
- I VPC -konsollen knytter det konfigurerte nettverket ACL til undernettene der din globale akselerator endepunkter ligger.
- Hvert undernett kan være tilknyttet bare ett nettverk ACL om gangen, så sørg for at ACL du konfigurer blir brukt på alle relevante undernett [3].

7. Test og valider trafikkstrømmen
- Etter å ha konfigurert nettverk ACL -er, tester trafikken fra global akselerator når endepunktene dine riktig.
- Bruk verktøy som VPC Flow Logs eller AWS Firewall Manager Compliance Reports hvis du administrerer flere kontoer og undernett. Firewall Manager kan bidra til å automatisere og overvåke nettverk ACL -konfigurasjoner på tvers av AWS -organisasjonen [3].

8. Valgfritt: Bruk AWS Firewall Manager for sentralisert ledelse
- Hvis du administrerer flere kontoer eller et stort antall undernett, kan du vurdere å bruke AWS Firewall Manager for å definere og håndheve nettverk ACL -policyer sentralt.
- Firewall Manager kan automatisk bruke nettverk ACL -konfigurasjoner på nye undernett og rapportere status for samsvar [3].

** Tilleggsnotater:
- Forsikre deg om at sikkerhetsgrupper tilknyttet sluttpunktene dine også tillater trafikk fra globale akselerator -IP -er og nødvendige porter, ettersom sikkerhetsgrupper og nettverk ACL -er fungerer sammen for å kontrollere trafikken [6].
- Når du bruker tilpassede rutingakseleratorer, må du forsikre deg om at nettverk ACL -er tillater trafikk til de spesifikke portene som brukes for deterministisk ruting til EC2 -forekomster i undernettene [6] [8].

Ved å følge disse trinnene, kan du konfigurere nettverk ACL -er riktig for å sikre og aktivere trafikkflyt for AWS Global Accelerator -endepunkter.

Sitasjoner:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-itworks.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-bimit-endpoint-access-fi-securityGroup
[5] https://softwareengineering.stackexchange.com/questions/414351/a-recipe-for-handling-an-aws-network-request-from-start--to-finish-at-global-scal
[6] https://aws.amazon.com/blogs/networking-and-content-edelivery/introducing-aws-global-accelerator-custom routing-accelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke