Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Vilka är stegen för att konfigurera nätverk ACL för Global Accelerator


Vilka är stegen för att konfigurera nätverk ACL för Global Accelerator


För att konfigurera nätverk ACL: er (åtkomstkontrolllistor) för AWS Global Accelerator, följ dessa detaljerade steg:

1. Förstå Network ACL: s roll med Global Accelerator
Nätverk ACL: er är statslösa brandväggar som styr inkommande och utgående trafik på subnätnivån inom din VPC. När du använder Global Accelerator, som leder trafik till slutpunkter som lastbalanserare eller EC2 -instanser i en eller flera AWS -regioner, måste du se till att nätverket ACL: er som är associerade med undernät som är värd för dessa slutpunkter tillåter nödvändig trafik. Detta inkluderar trafik från Global Accelerators statiska IP -adresser och portarna som din applikation använder [3] [6].

2. Identifiera undernäten som är värd för dina slutpunkter
Bestäm vilka VPC -subnät som innehåller slutpunkterna (t.ex. applikationsbelastningsbalanserare, nätverksbelastningsbalanserare eller EC2 -instanser) som Global Accelerator kommer att dirigera trafiken till. För en anpassad routing -accelerator lägger du till ett eller flera VPC -subnät som slutpunkter [6] [8].

3. Granska Global Accelerator IP -adressintervall
Global Accelerator använder statiska IP -adresser som är anycast från flera AWS Edge -platser. AWS publicerar IP -adressintervallen som används av Global Accelerator. Du bör skapa anpassade prefixlistor eller inkludera dessa IP -intervall i dina nätverks -ACL -regler för att tillåta trafik från Global Accelerator [4].

4. Konfigurera inkommande regler för nätverk ACLS
- Tillåt inkommande trafik på de portar som din applikation lyssnar på (t.ex. TCP -portar 80, 443 eller anpassade portar).
- Tillåt inkommande trafik från Global Accelerator IP -adressintervall eller prefixlistor. Detta säkerställer att trafik som dirigeras av Global Accelerator kan nå dina slutpunkter.
- Se till att reglerna beställs korrekt, eftersom nätverk ACLS behandlar regler i antal ordning, och den första matchningsregeln tillämpas [3] [6].

5. Konfigurera utgående regler för nätverk ACL: er
- Tillåt utgående svar på källans IP: er och portar vid behov. Eftersom nätverk ACL: er är statslösa måste du uttryckligen tillåta utgående trafik som motsvarar inkommande förfrågningar.
- Tillåt vanligtvis utgående trafik till flyktiga hamnar (t.ex. TCP-portar 1024-65535) för att stödja returtrafik till klienter eller globala acceleratorändpunkter [3].

6. Associerade nätverk ACL: er med lämpliga undernät
- I VPC -konsolen, associera det konfigurerade nätverket ACL med undernäten där din globala accelerator slutpunkter finns.
- Varje undernät kan associeras med endast ett nätverk ACL åt gången, så se till att ACL du konfigurerar används på alla relevanta subnät [3].

7. Testa och validera trafikflödet
- När du har konfigurerat nätverket ACL: er, testa att trafiken från Global Accelerator når dina slutpunkter korrekt.
- Använd verktyg som VPC Flow Logs eller AWS Firewall Manager Compliance Reports om du hanterar flera konton och undernät. Firewall Manager kan hjälpa till att automatisera och övervaka nätverks -ACL -konfigurationer över din AWS -organisation [3].

8. Valfritt: Använd AWS Firewall Manager för centraliserad ledning
- Om du hanterar flera konton eller ett stort antal subnät kan du överväga att använda AWS Firewall Manager för att definiera och verkställa ACL -policyer i nätverket centralt.
- Firewall Manager kan automatiskt tillämpa nätverks -ACL -konfigurationer på nya subnät och rapportera överensstämmelse status [3].

** Ytterligare anteckningar:
- Se till att säkerhetsgrupper som är associerade med dina slutpunkter också tillåter trafik från Global Accelerator IPS och krävda hamnar, eftersom säkerhetsgrupper och nätverk ACL: er arbetar tillsammans för att kontrollera trafik [6].
- När du använder anpassade routing -acceleratorer, se till att nätverket ACL: er tillåter trafik till de specifika portarna som används för deterministisk routing till EC2 -instanser i subnäten [6] [8].

Genom att följa dessa steg kan du korrekt konfigurera nätverks -ACL för att säkra och möjliggöra trafikflöde för AWS Global Accelerator Endpoints.

Citeringar:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduktion-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
]
]
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduktion-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke