Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Kokie yra „Global Accelerator“ tinklo ACL konfigūravimo veiksmai


Kokie yra „Global Accelerator“ tinklo ACL konfigūravimo veiksmai


Norėdami sukonfigūruoti tinklo ACLS (prieigos kontrolės sąrašus), skirtą AWS visuotiniam akceleratoriui, atlikite šiuos išsamius veiksmus:

1. Supraskite tinklo ACL vaidmenį su visuotiniu greitintuvu
Tinklo ACL yra ugniasienės be pilietybės, kurios kontroliuoja atvykstamąjį ir išvykstamąjį srautą potinklio lygyje jūsų VPC. Kai naudojate „Global Accelerator“, kuris nukreipia srautą į galinius taškus, tokius kaip apkrovos balansuotojai ar EC2 egzemplioriai viename ar keliuose AWS regionuose, turite užtikrinti, kad tinklo ACL, susiję su potinkliais, kuriuose yra šie galutiniai taškai, leidžia atlikti reikiamą srautą. Tai apima srautą iš „Global Accelerator“ statinių IP adresų ir prievadus, kuriuos naudoja jūsų programa [3] [6].

2. Nurodykite poelgius, talpinančius jūsų galinius taškus
Nustatykite, kurie VPC potinkliuose yra galiniai taškai (pvz., Taikymo apkrovos balanseriai, tinklo apkrovos balanseriai ar EC2 egzemplioriai), į kuriuos visuotinis greitintuvas nukreips srautą. Pasirinktiniam maršruto akceleratoriui pridedate vieną ar kelis VPC potinklius kaip galinius taškus [6] [8].

3. Peržiūrėkite „Global Accelerator“ IP adresų diapazonus
„Global Accelerator“ naudoja statinius IP adresus, kurie yra bet kokiu atveju iš kelių AWS kraštų vietų. AWS skelbia „Global Accelerator“ naudojamas IP adresų diapazonus. Turėtumėte sukurti pasirinktinius priešdėlių sąrašus arba įtraukti šiuos IP diapazonus į savo tinklo ACL taisykles, kad būtų galima srautą iš globalinio greitintuvo [4].

4. Konfigūruokite atvykstamųjų taisyklių tinklo ACLS taisykles
- Leiskite įvažiuojamąjį srautą prievaduose, kurių jūsų programos klausosi (pvz., TCP prievadai 80, 443 arba pasirinktiniai prievadai).
- Leiskite atvykstamam srautui iš pasaulinio greitintuvo IP adresų diapazonų arba priešdėlių sąrašų. Tai užtikrina, kad „Global Accelerator“ nukreiptas srautas gali pasiekti jūsų galinius taškus.
- Įsitikinkite, kad taisyklės bus užsakomos teisingai, nes tinklo ACLS proceso taisyklės pagal numerių tvarka, ir taikoma pirmoji atitikimo taisyklė [3] [6].

5. Konfigūruokite išeinančių taisyklių tinklo ACLS taisykles
- Jei reikia, leiskite išvažiuoti į šaltinį IPS ir prievadus. Kadangi tinklo ACL yra be pilietybės, turite aiškiai leisti išeinantį srautą, atitinkantį atvykstančias užklausas.
- Paprastai leiskite išvykstant srautui į efemeralinius prievadus (pvz., TCP prievadus 1024-65535), kad palaikytumėte grąžinimo srautą klientams ar pasauliniams greitintuvo galiniams taškams [3].

6. Susiję tinklo ACL su atitinkamais potinkliais
- VPC konsolėje susiejamas sukonfigūruoto tinklo ACL su potinkliais, kur yra jūsų globalūs greitintuvo galiniai taškai.
- Kiekvienas potinklis gali būti susietas tik su vienu tinklo ACL vienu metu, todėl įsitikinkite, kad jūsų konfigūravimo ACL taikoma visiems svarbiems potinkliams [3].

7. Patikrinkite ir patvirtinkite eismo srautą
- Sukonfigūravę tinklo ACL, išbandykite, kad srautas iš „Global Accelerator“ teisingai pasiekia jūsų galinius taškus.
- Naudokite tokius įrankius kaip VPC srauto žurnalai arba „AWS Firewall Manager“ atitikties ataskaitos, jei valdote kelias paskyras ir potinklius. „Firewall Manager“ gali padėti automatizuoti ir stebėti tinklo ACL konfigūracijas visoje jūsų AWS organizacijoje [3].

8. Neprivaloma: centralizuotai valdymui naudokite „AWS Firewall Manager“
- Jei valdote kelias paskyras ar daugybę potinklių, apsvarstykite galimybę naudoti „AWS Firewall Manager“, kad apibrėžtumėte ir vykdytumėte tinklo ACL politiką centralizuotai.
- „Firewall Manager“ gali automatiškai pritaikyti tinklo ACL konfigūracijas naujiems potinkliams ir pateikti atitikties būseną [3].

** Papildomos pastabos:
- Užtikrinkite, kad su jūsų galiniais taškais susijusios saugos grupės taip pat leistų srautui iš pasaulinio greitintuvo IPS ir reikalingų prievadų, nes saugumo grupės ir tinklo ACL dirba kartu kontroliuoti srautą [6].
- When using custom routing accelerators, ensure that the network ACLs allow traffic to the specific ports used for deterministic routing to EC2 instances within the subnets[6][8].

Atlikdami šiuos veiksmus, galite tinkamai sukonfigūruoti tinklo ACL, kad užtikrintumėte ir įgalintumėte „AWS Global Accelerator“ galinių taškų srautą.

Citatos:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://softwareEngineering.stackexchange.com/questions/414351/a-recipe-for tvarkymas-An-aws-NETWork-request-from-Start-tofinis-at-Global-Scal
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-global-accelerator-custom-routing-accelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke