Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Apa langkah -langkah untuk mengonfigurasi ACL jaringan untuk akselerator global


Apa langkah -langkah untuk mengonfigurasi ACL jaringan untuk akselerator global


Untuk mengonfigurasi ACL jaringan (daftar kontrol akses) untuk AWS Global Accelerator, ikuti langkah -langkah terperinci ini:

1. Memahami peran ACL jaringan dengan akselerator global
ACL jaringan adalah firewall tanpa kewarganegaraan yang mengontrol lalu lintas masuk dan keluar di tingkat subnet dalam VPC Anda. Saat menggunakan Global Accelerator, yang merutekan lalu lintas ke titik akhir seperti penyeimbang beban atau instance EC2 di satu atau lebih daerah AWS, Anda harus memastikan bahwa ACL jaringan yang terkait dengan subnet yang hosting titik akhir ini memungkinkan lalu lintas yang diperlukan. Ini termasuk lalu lintas dari alamat IP statis Accelerator global dan port yang digunakan aplikasi Anda [3] [6].

2. Identifikasi subnet yang menampung titik akhir Anda
Tentukan subnet VPC mana yang berisi titik akhir (mis., Penyeimbang beban aplikasi, penyeimbang beban jaringan, atau instance EC2) yang akan dirutekan oleh akselerator global. Untuk akselerator perutean khusus, Anda menambahkan satu atau lebih subnet VPC sebagai titik akhir [6] [8].

3. Tinjau rentang alamat IP akselerator global
Global Accelerator menggunakan alamat IP statis yang merupakan siaran dari beberapa lokasi AWS Edge. AWS menerbitkan rentang alamat IP yang digunakan oleh Global Accelerator. Anda harus membuat daftar awalan khusus atau menyertakan rentang IP ini dalam aturan ACL jaringan Anda untuk memungkinkan lalu lintas dari Accelerator Global [4].

4. Mengkonfigurasi aturan masuk pada ACL jaringan
- Izinkan lalu lintas masuk pada port yang Anda dengarkan (mis., Port TCP 80, 443, atau port khusus).
- Izinkan lalu lintas masuk dari rentang alamat IP akselerator global atau daftar awalan. Ini memastikan bahwa lalu lintas yang dialihkan oleh Global Accelerator dapat mencapai titik akhir Anda.
- Pastikan aturan dipesan dengan benar, sebagai aturan proses ACLS jaringan dalam urutan angka, dan aturan pencocokan pertama diterapkan [3] [6].

5. Konfigurasikan aturan outbound di ACL jaringan
- Izinkan respons outbound ke IP dan port sumber yang diperlukan. Karena ACL jaringan tanpa kewarganegaraan, Anda harus secara eksplisit mengizinkan lalu lintas keluar yang sesuai dengan permintaan masuk.
- Biasanya, izinkan lalu lintas keluar ke port fana (mis., Port TCP 1024-65535) untuk mendukung lalu lintas pengembalian ke klien atau titik akhir akselerator global [3].

6. Associate Network ACL dengan subnet yang sesuai
- Di konsol VPC, kaitkan jaringan ACL yang dikonfigurasi dengan subnet di mana titik akhir akselerator global Anda berada.
- Setiap subnet dapat dikaitkan dengan hanya satu jaringan ACL pada satu waktu, jadi pastikan bahwa ACL yang Anda konfigurasi diterapkan pada semua subnet yang relevan [3].

7. Uji dan validasi arus lalu lintas
- Setelah mengkonfigurasi ACL jaringan, uji lalu lintas dari Global Accelerator mencapai titik akhir Anda dengan benar.
- Gunakan alat seperti Log Aliran VPC atau Laporan Kepatuhan Manajer Firewall AWS Jika Anda mengelola banyak akun dan subnet. Firewall Manager dapat membantu mengotomatisasi dan memantau konfigurasi ACL jaringan di seluruh organisasi AWS Anda [3].

8. Opsional: Gunakan AWS Firewall Manager untuk manajemen terpusat
- Jika Anda mengelola banyak akun atau sejumlah besar subnet, pertimbangkan untuk menggunakan AWS Firewall Manager untuk mendefinisikan dan menegakkan kebijakan ACL jaringan secara terpusat.
- Firewall Manager dapat secara otomatis menerapkan konfigurasi ACL jaringan ke subnet baru dan melaporkan status kepatuhan [3].

** Catatan Tambahan:
- Pastikan bahwa kelompok keamanan yang terkait dengan titik akhir Anda juga memungkinkan lalu lintas dari IP akselerator global dan port yang diperlukan, karena grup keamanan dan ACL jaringan bekerja bersama untuk mengontrol lalu lintas [6].
- Saat menggunakan akselerator routing khusus, pastikan bahwa ACL jaringan memungkinkan lalu lintas ke port spesifik yang digunakan untuk perutean deterministik ke instance EC2 dalam subnet [6] [8].

Dengan mengikuti langkah -langkah ini, Anda dapat mengkonfigurasi ACL jaringan dengan benar untuk mengamankan dan mengaktifkan arus lalu lintas untuk titik akhir akselerator global AWS.

Kutipan:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://softwareengineering.stackexchange.com/questions/414351/a-recipe-for-handling-an-aws-network-request-from-start-to-finish-at-global-scal
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-global-accelerator-custom-routing-accelerators/
[7] https://boto33.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke