Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Jakie są kroki, aby skonfigurować ACL Network ACL dla globalnego akceleratora


Jakie są kroki, aby skonfigurować ACL Network ACL dla globalnego akceleratora


Aby skonfigurować ACL Network ACL (listy kontroli dostępu) dla AWS Global Accelerator, wykonaj te szczegółowe kroki:

1. Zrozum rolę sieci ACL z globalnym akceleratorem
ACL Network ACL to bezstanne zapory ogniowe, które kontrolują ruch przychodzący i wychodzący na poziomie podsieci w ramach VPC. Korzystając z globalnego akceleratora, który prowadzi ruch do punktów końcowych, takich jak równoważenie obciążenia lub instancje EC2 w jednym lub większej liczbie regionów AWS, musisz upewnić się, że sieci ACL powiązane z podsieciami hostującymi te punkty końcowe umożliwiają niezbędny ruch. Obejmuje to ruch ze statycznych adresów IP Global Accelerator, a porty używane przez Twoją aplikację [3] [6].

2. Zidentyfikuj podsieci hostujące punkty końcowe
Ustal, które podsieci VPC zawierają punkty końcowe (np. Balancer z ładunkiem aplikacji, równoważenie obciążenia sieci lub instancje EC2), do których globalny akcelerator będzie kierował ruch. W przypadku niestandardowego akceleratora routingu dodajesz jeden lub więcej podsieci VPC jako punkty końcowe [6] [8].

3. Przejrzyj zakresy IP Global Accelerator
Global Accelerator używa statycznych adresów IP, które są one wycofane z wielu lokalizacji AWS Edge. AWS publikuje zakresy adresów IP używane przez Global Accelerator. Powinieneś utworzyć niestandardowe listy prefiksów lub dołączyć te zakresy IP w zasadach sieciowych ACL, aby umożliwić ruch z globalnego akceleratora [4].

4. Skonfiguruj reguły przychodzące w ACL Network
- Zezwalaj na ruch przychodzący w portach, do których służy aplikacja (np. Porty TCP 80, 443 lub niestandardowe porty).
- Zezwalaj na ruch przychodzący z globalnego zakresu adresów IP Accelerator lub listy prefiksów. Zapewnia to, że ruch kierowany przez Global Accelerator może dotrzeć do twoich punktów końcowych.
- Upewnij się, że reguły są prawidłowo uporządkowane, ponieważ sieciowe reguły ACL przetwarzają w kolejności numeru, a pierwsza reguła dopasowania jest stosowana [3] [6].

5. Skonfiguruj reguły wychodzące w ACL Network ACL
- Pozwól, aby odpowiedzie wychodzące na źródło IPS i porty w razie potrzeby. Ponieważ sieciowe ACL są bezpaństwowe, musisz wyraźnie zezwolić na ruch wychodzący, który odpowiada żądaniom przychodzącym.
- Zazwyczaj zezwalaj na ruch wychodzący do efemerycznych portów (np. Porty TCP 1024-65535) na wsparcie ruchu zwrotu dla klientów lub globalnych punktów końcowych akceleratora [3].

6. Kojarzenie sieci ACL z odpowiednimi podsieciami
- W konsoli VPC powiązaj skonfigurowaną sieć ACL z podsieciami, w których przebywają twoje globalne punkty końcowe akceleratora.
- Każda podsieć może być powiązana tylko z jedną siecią ACL na raz, więc upewnij się, że skonfigurowany ACL jest stosowany do wszystkich odpowiednich podsieci [3].

7. Przetestuj i sprawdzaj przepływ ruchu
- Po skonfigurowaniu sieci ACL, przetestuj, że ruch z globalnego akceleratora prawidłowo osiąga punkty końcowe.
- Używaj narzędzi takich jak dzienniki przepływu VPC lub raporty zgodności Menedżera zapory AWS, jeśli zarządzasz wieloma kontami i podsieciami. Menedżer Firewall może pomóc w automatyzacji i monitorowaniu konfiguracji sieci ACL w organizacji AWS [3].

8. Opcjonalnie: Użyj AWS Firewall Manager do scentralizowanego zarządzania
- Jeśli zarządzasz wieloma kontami lub dużą liczbą podsieci, rozważ skorzystanie z AWS Firewall Manager w celu centralnie zdefiniowania i egzekwowania zasad sieci ACL.
- Menedżer zapory może automatycznie stosować konfiguracje sieciowe ACL do nowych podsieci i zgłaszać status zgodności [3].

** Dodatkowe uwagi:
- Upewnij się, że grupy bezpieczeństwa związane z punktami końcowymi pozwalają również na ruch z globalnych IP przyspieszenia i wymaganych portów, ponieważ grupy bezpieczeństwa i sieciowe ACL współpracują w celu kontrolowania ruchu [6].
- Podczas korzystania z niestandardowych akceleratorów routingu upewnij się, że Network ACL umożliwia ruch do określonych portów używanych do decydowania do instancji EC2 w podsieciach [6] [8].

Postępując zgodnie z tymi krokami, możesz poprawnie skonfigurować sieci ACL w celu zabezpieczenia i włączenia przepływu ruchu dla globalnych punktów akceleratora AWS.

Cytaty:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/usergoide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-goide.pdf
[4] https://repost.aws/knowledge-center/globalaclelerator-limit-endpoint-access-by-securitygroup
[5] https://softwareengineering.stackexchange.com/questions/414351/a-recipe-foring-an-aws-network-request-from-start-finish-at-global
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-global-accelerator-custom-uting-accelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaclelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke