Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Care sunt pașii pentru configurarea ACL -urilor de rețea pentru acceleratorul global


Care sunt pașii pentru configurarea ACL -urilor de rețea pentru acceleratorul global


Pentru a configura ACL -urile de rețea (listele de control de acces) pentru acceleratorul global AWS, urmați acești pași detaliate:

1. Înțelegeți rolul ACL -urilor de rețea cu acceleratorul global
ACL -urile de rețea sunt firewall -uri apatrite care controlează traficul de intrare și de ieșire la nivelul subrețelei din VPC. Atunci când utilizați Global Accelerator, care direcționează traficul către puncte finale, cum ar fi echilibratorii de încărcare sau instanțele EC2 într -una sau mai multe regiuni AWS, trebuie să vă asigurați că ACL -urile de rețea asociate cu subrețelele care găzduiesc aceste puncte finale permit traficul necesar. Aceasta include traficul de la adresele IP statice ale Global Accelerator și porturile pe care aplicația le folosește [3] [6].

2. Identificați subrețelele care vă găzduiesc punctele finale
Determinați ce subrețele VPC conțin punctele finale (de exemplu, echilibratorii de încărcare a aplicației, echilibratorii de încărcare a rețelei sau instanțele EC2) la care va dirija traficul de accelerator global. Pentru un accelerator de rutare personalizat, adăugați una sau mai multe subreturi VPC ca puncte finale [6] [8].

3. Examinați intervalele de adrese IP ale acceleratorului global
Global Accelerator folosește adrese IP statice care sunt Anycast din mai multe locații AWS Edge. AWS publică intervalele de adrese IP utilizate de Global Accelerator. Ar trebui să creați liste de prefixuri personalizate sau să includeți aceste intervale IP în regulile ACL de rețea pentru a permite traficul de la Global Accelerator [4].

4. Configurați regulile de intrare pe ACL -urile de rețea
- Permiteți traficul de intrare în porturile pe care aplicația dvs. le ascultă (de exemplu, porturile TCP 80, 443 sau porturile personalizate).
- Permiteți traficul de intrare din intervalele de adrese IP ale acceleratorului global sau listele de prefix. Acest lucru asigură că traficul dirijat de acceleratorul global vă poate atinge punctele finale.
- Asigurați -vă că regulile sunt ordonate corect, deoarece regulile de proces ale ACLS de rețea în ordine de număr și se aplică prima regulă de potrivire [3] [6].

5. Configurați regulile de ieșire pe ACL -urile de rețea
- Permiteți răspunsurile de ieșire la IP -urile și porturile sursă, după cum este necesar. Deoarece ACL -urile de rețea sunt apatrite, trebuie să permiteți în mod explicit traficul de ieșire care corespunde cererilor de intrare.
- De obicei, permiteți traficului de ieșire către porturile efemere (de exemplu, porturile TCP 1024-65535) pentru a sprijini traficul de retur către clienți sau punctele finale globale ale acceleratorului [3].

6. Asociați ACL -urile de rețea cu subrețelele corespunzătoare
- În consola VPC, asociați ACL -ul de rețea configurat cu subrețelele în care se află punctele dvs. de accelerație globală.
- Fiecare subrețea poate fi asociată cu o singură rețea ACL la un moment dat, astfel încât să vă asigurați că ACL pe care o configurați este aplicată la toate subrețelele relevante [3].

7. Testați și validați fluxul de trafic
- După configurarea ACL -urilor de rețea, testați că traficul de la acceleratorul global vă atinge corect punctele.
- Utilizați instrumente precum jurnalele de flux VPC sau rapoartele de conformitate ale Managerului Firewall AWS dacă gestionați mai multe conturi și subrețele. Firewall Manager poate ajuta la automatizarea și monitorizarea configurațiilor ACL de rețea în cadrul organizației dvs. AWS [3].

8. Opțional: Utilizați AWS Firewall Manager pentru management centralizat
- Dacă gestionați mai multe conturi sau un număr mare de subrețele, luați în considerare utilizarea AWS Firewall Manager pentru a defini și aplica politicile ACL de rețea central.
- Firewall Manager poate aplica automat configurațiile ACL de rețea pe noile subrețele și să raporteze starea de conformitate [3].

** Note suplimentare:
- Asigurați -vă că grupurile de securitate asociate cu punctele dvs. finale permit, de asemenea, traficul de la IP -urile de accelerare globală și porturile necesare, deoarece grupurile de securitate și ACL -urile de rețea lucrează împreună pentru a controla traficul [6].
- Când utilizați acceleratoare de rutare personalizate, asigurați -vă că ACL -urile de rețea permit traficul către porturile specifice utilizate pentru rutarea deterministă către instanțele EC2 din subrețele [6] [8].

Urmând acești pași, puteți configura în mod corespunzător ACL -urile de rețea pentru a securiza și activa fluxul de trafic pentru punctele finale ale acceleratorului global AWS.

Citări:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-fy-securitygroup
[5] https://softwareEngineering.stackexchange.com/questions/414351/a-recipe-for-handling-an-aws-network-request-from-start-to-finish-at-global-scal
.
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke