Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Quais são as etapas para configurar ACLs de rede para acelerador global


Quais são as etapas para configurar ACLs de rede para acelerador global


Para configurar as ACLs de rede (listas de controle de acesso) para o AWS Global Accelerator, siga estas etapas detalhadas:

1. Entenda o papel das ACLs de rede com o Global Accelerator
ACLs de rede são firewalls sem estado que controlam o tráfego de entrada e saída no nível da sub -rede dentro do seu VPC. Ao usar o acelerador global, que direciona o tráfego para pontos de extremidade, como balanceadores de carga ou instâncias do EC2 em uma ou mais regiões da AWS, você deve garantir que as ACLs de rede associadas às sub -redes que hospedam esses pontos de extremidade permitam o tráfego necessário. Isso inclui o tráfego dos endereços IP estáticos do acelerador global e as portas que seu aplicativo usa [3] [6].

2. Identifique as sub -redes que hospedam seus terminais
Determine quais sub -redes VPC contêm os pontos de extremidade (por exemplo, balanceadores de carga de aplicativos, balanceadores de carga de rede ou instâncias do EC2) para as quais o acelerador global direcionará o tráfego. Para um acelerador de roteamento personalizado, você adiciona uma ou mais sub -redes VPC como pontos de extremidade [6] [8].

3. Revise as faixas de endereço IP do acelerador global
O Global Accelerator usa endereços IP estáticos que são de qualquer maneira de vários locais da AWS Edge. A AWS publica as faixas de endereço IP usadas pelo Global Accelerator. Você deve criar listas de prefixos personalizadas ou incluir essas faixas de IP nas regras da sua rede ACL para permitir o tráfego do acelerador global [4].

4. Configure as regras de entrada no ACLS da rede
- Permitir tráfego de entrada nas portas que seu aplicativo ouve (por exemplo, portas TCP 80, 443 ou portas personalizadas).
- Permitir tráfego de entrada das faixas de endereço IP do acelerador global ou listas de prefixos. Isso garante que o tráfego roteado pelo Global Accelerator possa atingir seus pontos de extremidade.
- Verifique se as regras são solicitadas corretamente, conforme as regras de processos da ACLS da rede em ordem numérica e a primeira regra de correspondência é aplicada [3] [6].

5. Configurar regras de saída no ACLS da rede
- Permitir respostas de saída aos IPs e portas de origem, conforme necessário. Como as ACLs de rede estão sem estado, você deve permitir explicitamente tráfego de saída que corresponda às solicitações de entrada.
- Normalmente, permita o tráfego de saída em portas efêmeras (por exemplo, portas TCP 1024-65535) para apoiar o tráfego de retorno aos clientes ou terminais de acelerador global [3].

6. ACLs de rede associados às sub -redes apropriadas
- No console do VPC, associe o ACL de rede configurado com as sub -redes onde residem os pontos de extremidade do acelerador global.
- Cada sub -rede pode estar associada a apenas uma rede ACL por vez, portanto, verifique se o ACL que você configura é aplicado a todas as sub -redes relevantes [3].

7. Teste e valide o fluxo de tráfego
- Depois de configurar as ACLs da rede, teste que o tráfego do acelerador global atinge seus pontos de extremidade corretamente.
- Use ferramentas como logs de fluxo VPC ou relatórios de conformidade do AWS Firewall Manager se você gerenciar várias contas e sub -redes. O Firewall Manager pode ajudar a automatizar e monitorar as configurações da ACL de rede em toda a sua organização da AWS [3].

8. Opcional: use o AWS Firewall Manager para gerenciamento centralizado
- Se você gerenciar várias contas ou um grande número de sub -redes, considere usar o AWS Firewall Manager para definir e aplicar as políticas da LCA de rede centralmente.
- O Firewall Manager pode aplicar automaticamente configurações de rede ACL a novas sub -redes e relatar o status de conformidade [3].

** Notas adicionais:
- Verifique se os grupos de segurança associados aos seus pontos de extremidade também permitem o tráfego dos IPs do acelerador global e das portas necessárias, pois os grupos de segurança e as ACLs de rede trabalham juntos para controlar o tráfego [6].
- Ao usar aceleradores de roteamento personalizados, verifique se as ACLs de rede permitem o tráfego para as portas específicas usadas para roteamento determinístico para instâncias do EC2 nas sub -redes [6] [8].

Seguindo essas etapas, você pode configurar corretamente as ACLs de rede para proteger e permitir o fluxo de tráfego para os pontos de extremidade do AWS Global Acelerator.

Citações:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-centers/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://softwareEngineering.stackexchange.com/questions/414351/a-recipe-for-handling-an-aws-network-request-from-start-to-finish-at-global-scal
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-global-accelerator-custom--routing-accelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke