Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon ¿Cuáles son los pasos para configurar ACL de red para Global Acelerator?


¿Cuáles son los pasos para configurar ACL de red para Global Acelerator?


Para configurar ACL de red (listas de control de acceso) para AWS Global Acelerator, siga estos pasos detallados:

1. Comprender el papel de las ACL de red con Global Acelerator
Las ACL de red son firewalls sin estado que controlan el tráfico entrante y saliente a nivel de subred dentro de su VPC. Al usar Global Accelerator, que enruta el tráfico a puntos finales como equilibradores de carga o instancias EC2 en una o más regiones de AWS, debe asegurarse de que las ACL de red asociadas con las subredes que alojan estos puntos finales permitan el tráfico necesario. Esto incluye el tráfico de las direcciones IP estáticas del Acelerador Global y los puertos que su aplicación usa [3] [6].

2. Identifique las subredes que alojan sus puntos finales
Determine qué subredes VPC contienen los puntos finales (por ejemplo, equilibradores de carga de aplicación, equilibradores de carga de red o instancias EC2) a los que el acelerador global enrutará el tráfico. Para un acelerador de enrutamiento personalizado, agrega una o más subredes VPC como puntos finales [6] [8].

3. Revise los rangos de dirección IP del acelerador global
Global Accelerator utiliza direcciones IP estáticas que se encuentran en múltiples ubicaciones de AWS Edge. AWS publica los rangos de dirección IP utilizados por Global Accelerator. Debe crear listas de prefijo personalizadas o incluir estos rangos de IP en las reglas de ACL de su red para permitir el tráfico de Global Accelerator [4].

4. Configurar reglas entrantes en ACL de red
- Permita el tráfico entrante en los puertos que su aplicación escucha (por ejemplo, puertos TCP 80, 443 o puertos personalizados).
- Permitir el tráfico entrante de los rangos de dirección IP del Acelerador Global o listas de prefijo. Esto asegura que el tráfico enrutado por Global Accelerator pueda alcanzar sus puntos finales.
- Asegúrese de que las reglas se ordenen correctamente, ya que las reglas del proceso de ACL de red en orden de número, y se aplica la primera regla de coincidencia [3] [6].

5. Configure las reglas salientes en las ACL de red
- Permitir respuestas salientes a los IP y puertos de origen según sea necesario. Dado que las ACL de red son apátridas, debe permitir explícitamente el tráfico saliente que corresponde a las solicitudes entrantes.
- Por lo general, permita el tráfico saliente a puertos efímeros (por ejemplo, puertos TCP 1024-65535) para admitir el tráfico de retorno a los clientes o puntos finales del acelerador global [3].

6. ACL de red asociado con las subredes apropiadas
- En la consola VPC, asocie el ACL de red configurado con las subredes donde residen los puntos finales de su acelerador global.
- Cada subred se puede asociar con solo un ACL de red a la vez, por lo que asegúrese de que el ACL que configura se aplique a todas las subredes relevantes [3].

7. Prueba y valida el flujo de tráfico
- Después de configurar las ACL de red, pruebe ese tráfico desde Global Acelerator llega correctamente sus puntos finales.
- Use herramientas como registros de flujo VPC o informes de cumplimiento de AWS Firewall Manager si administra varias cuentas y subredes. Firewall Manager puede ayudar a automatizar y monitorear las configuraciones de ACL de la red en su organización AWS [3].

8. Opcional: use AWS Firewall Manager para la gestión centralizada
- Si administra múltiples cuentas o una gran cantidad de subredes, considere usar AWS Firewall Manager para definir y hacer cumplir las políticas de ACL de la red centralmente.
- Firewall Manager puede aplicar automáticamente configuraciones de ACL de red a nuevas subredes e informar el estado de cumplimiento [3].

** Notas adicionales:
- Asegúrese de que los grupos de seguridad asociados con sus puntos finales también permitan el tráfico de IP del Acelerador Global y los puertos requeridos, ya que los grupos de seguridad y las ACL de red trabajan juntas para controlar el tráfico [6].
- Al usar aceleradores de enrutamiento personalizados, asegúrese de que las ACL de red permitan el tráfico a los puertos específicos utilizados para el enrutamiento determinista a las instancias de EC2 dentro de las subredes [6] [8].

Siguiendo estos pasos, puede configurar correctamente las ACL de red para asegurar y habilitar el flujo de tráfico para los puntos finales del acelerador global de AWS.

Citas:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://softwareEngineering.stackexchange.com/questions/414351/a-ripe-for-handling-an-aws-network-request--start-to-finish-at-global-scal
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-global-accelerator-custom-routing-accelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke