Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Каковы шаги по настройке сетевых ACL для глобального ускорителя


Каковы шаги по настройке сетевых ACL для глобального ускорителя


Для настройки сетевых ACL (списков управления доступом) для AWS Global Accelerator, выполните эти подробные шаги:

1. Понять роль сетевых ACL с Global Accelerator
Сеть ACL - брандмауэры без сохранения состояния, которые управляют входящим и исходящим трафиком на уровне подсети в вашем VPC. При использовании Global Accelerator, который направляет трафик для конечных точек, таких как балансировщики нагрузки или экземпляры EC2 в одном или нескольких регионах AWS, вы должны убедиться, что сетевые ACL, связанные с подсчетами, размещающими эти конечные точки, разрешают необходимый трафик. Это включает в себя трафик от статических IP -адресов Global Accelerator и портов, которые использует ваши приложения [3] [6].

2. Определите подсету, размещающие ваши конечные точки
Определите, какие подсети VPC содержат конечные точки (например, балансировщики нагрузки приложения, балансировщики сетевой нагрузки или экземпляры EC2), на которые глобальный ускоритель будет направлять трафик. Для пользовательского ускорителя маршрутизации вы добавляете одну или несколько подсети VPC в качестве конечных точек [6] [8].

3. Просмотреть диапазоны IP -адреса Global Accelerator
Global Accelerator использует статические IP -адреса, которые выходят из нескольких мест AWS Edge. AWS публикует диапазоны IP -адресов, используемые Global Accelerator. Вы должны создавать пользовательские списки префиксов или включить эти IP -диапазоны в свои правила ACL в своих сетевых правилах, чтобы разрешить трафик от глобального акселератора [4].

4. Настройка входящих правил на сетевых ACLS
- Разрешить входящий трафик на портах, которые приложение слушает (например, порты TCP 80, 443 или пользовательские порты).
- Разрешить входящий трафик из диапазонов IP -адреса Global Accelerator или списков префиксов. Это гарантирует, что трафик, направленный глобальным акселератором, может достичь ваших конечных точек.
- Убедитесь, что правила упорядочены правильно, как правила сетевого процесса ACLS в порядке чисел, и применяется первое правило соответствия [3] [6].

5. Настройка исходящих правил на сетевых ACLS
- Разрешить исходящие ответы на исходные IP и порты по мере необходимости. Поскольку сетевые ACL не имеют состояния, вы должны явно разрешить исходящий трафик, который соответствует входящим запросам.
- Как правило, разрешайте исходящий трафик в эфемерные порты (например, порты TCP 1024-65535) для поддержки возврата трафика для клиентов или глобальных конечных точек акселератора [3].

6. Assirete Network ACL с соответствующими подсетями
- В консоли VPC свяжите настроенный сетевой ACL с подсети, где находятся ваши глобальные конечные точки акселератора.
- Каждая подсеть может быть связана только с одним сетевым ACL за раз, поэтому убедитесь, что настройка ACL применяется ко всем соответствующим подсети [3].

7. Проверьте и проверяют поток трафика
- После настройки сетевых ACL проверьте, что трафик от Global Accelerator правильно достигает ваших конечных точек.
- Используйте такие инструменты, как журналы потока VPC или отчеты об соответствии Fire Manager Fire Manager, если вы управляете несколькими учетными записями и подсетями. Менеджер брандмауэра может помочь автоматизировать и контролировать конфигурации ACL сети в вашей организации AWS [3].

8. Необязательно: используйте менеджер брандмауэра AWS для централизованного управления
- Если вы управляете несколькими учетными записями или большим количеством подсети, рассмотрите возможность использования менеджера брандмауэра AWS для определения и обеспечения соблюдения политик ACL сети центрально.
- Диспетчер брандмауэра может автоматически применять конфигурации сети ACL к новым подсетам и отчетность по состоянию соответствия [3].

** Дополнительные заметки:
- Убедитесь, что группы безопасности, связанные с вашими конечными точками, также разрешают трафик от глобальных акселераторных IPS и требуемых портов, поскольку группы безопасности и сетевые ACL работают вместе для контроля трафика [6].
- При использовании пользовательских ускорителей маршрутизации убедитесь, что сетевые ACL разрешают трафик конкретные порты, используемые для детерминированной маршрутизации в экземпляры EC2 в подсети [6] [8].

Следуя этим шагам, вы можете правильно настроить сетевые ACL для обеспечения и включения потока трафика для конечных точек AWS Global Accelerator.

Цитаты:
[1] https://docs.aws.amazon.com/global-ccelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-ccelerator/latest/dg/global-ccelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://softwareengineering.stackexchange.com/questions/414351/a-recipe-for-handling-an-aws-network-request-from-tart-finish-at-at-global-scal
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-global-ccelerator-custom-routing-ccelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-ccelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke