Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Aké sú kroky na konfiguráciu sieťových ACL pre globálny akcelerátor


Aké sú kroky na konfiguráciu sieťových ACL pre globálny akcelerátor


Ak chcete nakonfigurovať sieťové ACLS (zoznamy riadenia prístupu) pre globálny akcelerátor AWS, postupujte podľa týchto podrobných krokov:

1. Pochopte úlohu sieťových ACL s globálnym akcelerátorom
Sieťové ACL sú brány firewall bez štátnej príslušnosti, ktoré riadia prichádzajúci a odchádzajúci prenos na úrovni podsiete vo vašom VPC. Pri používaní globálneho akcelerátora, ktorý smeruje prenos do koncových bodov, ako sú vyvažovatelia záťaže alebo inštancie EC2 v jednej alebo viacerých regiónoch AWS, musíte zabezpečiť, aby sieťové ACL spojené s podsiete, ktoré hosťujú tieto koncové body, umožňujú potrebnú prenos. Zahŕňa to prenos zo statických IP adries spoločnosti Global Accelerator a porty, ktoré vaša aplikácia používa [3] [6].

2. Identifikujte podsiete, ktoré hostia vaše koncové body
Determine which VPC subnets contain the endpoints (e.g., Application Load Balancers, Network Load Balancers, or EC2 instances) that Global Accelerator will route traffic to. Pre akcelerátor vlastného smerovania pridáte jednu alebo viac podsietí VPC ako koncové body [6] [8].

3. Skontrolujte rozsahy globálnych akcelerátorov IP adresy
Globálny akcelerátor používa statické adresy IP, ktoré sú anycast z viacerých lokalít AWS Edge. AWS publikuje rozsahy IP adresy používané globálnym akcelerátorom. Mali by ste vytvoriť vlastné zoznamy predpony alebo zahrnúť tieto rozsahy IP do svojich pravidiel ACL siete, aby ste umožnili prenos od spoločnosti Global Accelerator [4].

4. Nakonfigurujte prichádzajúce pravidlá pre sieťové ACLS
- Povoliť prichádzajúci prenos na portoch, na ktoré vaša aplikácia počúva (napr. Porty TCP 80, 443 alebo vlastné porty).
- Povoliť prichádzajúci prenos z rozsahov globálnych akcelerátorových IP adresy alebo zoznamov predpon. To zaisťuje, že prevádzka smerovaná globálnym akcelerátorom môže dosiahnuť vaše koncové body.
- Uistite sa, že pravidlá sú správne usporiadané, ako pravidlá procesu ACLS siete v poradí čísla a uplatňuje sa prvé pravidlo zhody [3] [6].

5. Nakonfigurujte odchádzajúce pravidlá pre sieťové ACLS
- Podľa potreby povoľte odchádzajúce reakcie na zdrojové IP a porty. Pretože sieťové ACL sú bez štátnej príslušnosti, musíte výslovne povoliť odchádzajúci prenos, ktorý zodpovedá prichádzajúcim požiadavkám.
- Zvyčajne povolte odchádzajúce prenosy do efemérnych portov (napr. Porty TCP 1024-65535) na podporu návratnosti prenosu klientom alebo globálnym koncovým bodom akcelerátora [3].

6
- V konzole VPC priradte nakonfigurovanú sieť ACL k podsiete, kde sa nachádzajú vaše globálne koncové body akcelerátora.
- Každá podsiete môže byť spojená iba s jednou sieťou ACL súčasne, takže sa uistite, že konfigurovanie ACL sa použije na všetky príslušné podsiete [3].

7. Otestujte a overte dopravný tok
- Po konfigurácii sieťových ACLS otestujte, že prevádzka z globálneho akcelerátora dosiahne správne koncové body.
- Ak spravujete viac účtov a podsiete, používajte nástroje, ako sú denníky toku VPC alebo AWS Firewall Manager. Firewall Manager môže pomôcť automatizovať a monitorovať sieťové konfigurácie ACL vo vašej organizácii AWS [3].

8. Voliteľné: Použite AWS Firewall Manager na centralizované riadenie
- Ak spravujete viac účtov alebo veľké množstvo podsiete, zvážte použitie AWS Firewall Manager na centrálne definovanie a presadzovanie sieťových politík ACL.
- Správca brány firewall môže automaticky aplikovať sieťové konfigurácie ACL na nové podsiete a stav dodržiavania predpisov [3].

** Ďalšie poznámky:
- Ensure that security groups associated with your endpoints also allow traffic from Global Accelerator IPs and required ports, as security groups and network ACLs work together to control traffic[6].
- Pri použití akcelerátorov vlastného smerovania sa uistite, že sieťové ACL umožňujú prenos na konkrétne porty použité na deterministické smerovanie do inštancií EC2 v podsiete [6] [8].

Podľa týchto krokov môžete správne nakonfigurovať sieťové ACLS tak, aby zabezpečili a umožnili prevádzkový tok pre koncové body globálnych akcelerátorov AWS.

Citácie:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securityGroupgroup
[5] https://softwareEngineering.stackexchange.com/questions/414351/a-recipe-for-andling-an-aws-network-request-from-start-t-finish-at-at-global-scal
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-global-accelerator-Custom-roust-routing-accelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke