Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Kādas ir darbības, lai konfigurētu tīkla ACL globālajam akseleratoram


Kādas ir darbības, lai konfigurētu tīkla ACL globālajam akseleratoram


Lai konfigurētu tīkla ACL (piekļuves kontroles sarakstus) AWS Global akseleratoram, izpildiet šīs detalizētās darbības:

1. Izprotiet tīkla ACL lomu ar globālo paātrinātāju
Tīkla ACL ir bezvalstnieku ugunsmūri, kas kontrolē ienākošo un izejošo trafiku apakštīkla līmenī jūsu VPC. Izmantojot globālo akseleratoru, kas novirza trafiku uz parametriem, piemēram, slodzes līdzsvarotājiem vai EC2 gadījumiem vienā vai vairākos AWS reģionos, jums jāpārliecinās, ka tīkla ACL, kas saistīti ar apakštīkliem, kas mitina šos parametrus, atļauj nepieciešamo trafiku. Tas ietver trafiku no globālās akseleratora statiskās IP adreses un jūsu lietojumprogrammas izmantoto portu [3] [6].

2. Nosakiet apakštīklus, kas mitina savus parametrus
Nosakiet, kuri VPC apakštīkli satur parametrus (piemēram, lietojumprogrammu slodzes līdzsvarotājus, tīkla slodzes līdzsvarotājus vai EC2 gadījumus), uz kuriem globālais paātrinātājs novirzīs trafiku. Pielāgotam maršrutēšanas akseleratoram kā parametrus pievienojat vienu vai vairākus VPC apakštīklus [6] [8].

3. Pārskats Globālā paātrinātāja IP adreses diapazoni
Globālais akselerators izmanto statiskas IP adreses, kas ir katras excast no vairākām AWS Edge vietām. AWS publicē IP adreses diapazonus, ko izmanto globālais akselerators. Jums vajadzētu izveidot pielāgotus prefiksu sarakstus vai iekļaut šos IP diapazonus tīkla ACL noteikumos, lai ļautu trafikai no globālā paātrinātāja [4].

4. Konfigurējiet ienākošos noteikumus tīkla ACLS
- Atļaujiet ienākošo trafiku portos, kurus jūsu lietojumprogramma klausās (piemēram, TCP porti 80, 443 vai pielāgotie porti).
- Atļaujiet ienākošo trafiku no globālā paātrinātāja IP adreses diapazoniem vai prefiksu sarakstiem. Tas nodrošina, ka trafika, ko veic globālais akselerators, var sasniegt jūsu parametrus.
- Pārliecinieties, ka noteikumi tiek pasūtīti pareizi, kā tīkla ACL procesu noteikumi skaita secībā, un tiek piemērots pirmais atbilstības noteikums [3] [6].

5. Konfigurējiet izejošos noteikumus tīkla ACLS
- Pēc nepieciešamības ļaujiet izejošajām reakcijām uz avota IP un portiem. Tā kā tīkla ACL ir bezvalstnieki, jums skaidri jāatļauj izejošā trafika, kas atbilst ienākošajiem pieprasījumiem.
- Parasti ļaujiet izejošai satiksmei uz īslaicīgām portiem (piemēram, TCP porti 1024-65535), lai atbalstītu atgriešanās trafiku klientiem vai globāliem paātrinātāja parametriem [3].

6. Asociētais tīkla ACL ar atbilstošajiem apakštīkliem
- VPC konsolē saistiet konfigurēto tīkla ACL ar apakštīkliem, kur atrodas jūsu globālie paātrinātāja galapunkti.
- Katru apakštīklu vienlaikus var saistīt tikai ar vienu tīkla ACL, tāpēc pārliecinieties, vai jūsu konfigurētais ACL tiek piemērots visiem attiecīgajiem apakštīkliem [3].

7. Pārbaudiet un apstipriniet satiksmes plūsmu
- Pēc tīkla ACL konfigurēšanas pārbaudiet, vai trafiks no globālā paātrinātāja pareizi sasniedz jūsu parametrus.
- Izmantojiet tādus rīkus kā VPC plūsmas žurnāli vai AWS ugunsmūra pārvaldnieka atbilstības pārskati, ja pārvaldāt vairākus kontus un apakštīklus. Ugunsmūra pārvaldnieks var palīdzēt automatizēt un uzraudzīt tīkla ACL konfigurācijas visā jūsu AWS organizācijā [3].

8. Pēc izvēles: centralizētai vadībai izmantojiet AWS ugunsmūra pārvaldnieku
- Ja pārvaldāt vairākus kontus vai lielu skaitu apakštīklu, apsveriet iespēju izmantot AWS ugunsmūra pārvaldnieku, lai centralizēti definētu un ieviestu tīkla ACL politikas.
- Firewall Manager var automātiski piemērot tīkla ACL konfigurācijas jauniem apakštīkliem un ziņot par atbilstības statusu [3].

** Papildu piezīmes:
- Pārliecinieties, ka drošības grupas, kas saistītas ar jūsu parametriem, arī ļauj trafiku no globālā paātrinātāja IP un nepieciešamajiem portiem, jo ​​drošības grupas un tīkla ACL darbojas kopā, lai kontrolētu trafiku [6].
- Izmantojot pielāgotus maršrutēšanas paātrinātājus, pārliecinieties, vai tīkla ACL ļauj trafiku uz konkrētajiem portiem, ko izmanto deterministiskai maršrutēšanai uz EC2 gadījumiem apakštīklos [6] [8].

Veicot šīs darbības, jūs varat pareizi konfigurēt tīkla ACL, lai nodrošinātu un iespējotu trafika plūsmu AWS globālajiem paātrinātāja parametriem.

Atsauces:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
.
.
[6] https://aws.amazon.com/blogs/networking-and-content-derivery/introducing-aws-global-accelerator-custom-routing-accelerator
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke