Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Kakšni so koraki za konfiguriranje omrežnih ACL -jev za globalni pospeševalnik


Kakšni so koraki za konfiguriranje omrežnih ACL -jev za globalni pospeševalnik


Če želite konfigurirati omrežne ACL -ji (seznami za nadzor dostopa) za AWS Global Accelerator, sledite tem podrobnim korakom:

1. Razumevanje vloge omrežnih ACL -jev z globalnim pospeševalnikom
Omrežni ACL -ji so požarni zidovi brez državljanstva, ki nadzorujejo vhodni in odhodni promet na ravni podomrežja znotraj vašega VPC. Pri uporabi globalnega pospeševalnika, ki usmerja promet do končnih točk, kot so uravnoteževalci obremenitve ali primerki EC2 v eni ali več regijah AWS, morate zagotoviti, da omrežje ACL, povezane s podomreži, ki gostijo te končne točke, omogočajo potreben promet. To vključuje promet iz statičnih naslovov IP globalnega pospeševalnika in vrata, ki jih uporablja vaša aplikacija [3] [6].

2. Določite podomrežja, ki gostijo vaše končne točke
Določite, kateri VPC podomreži vsebujejo končne točke (npr. Uravnarje nalaganja aplikacij, izravnalnike obremenitve omrežja ali primere EC2), da bo globalni pospeševalnik usmeril promet do. Za pospeševalnik za usmerjanje po meri dodate eno ali več podomrež VPC kot končne točke [6] [8].

3. Pregled globalnega naslova IP naslova pospeševalnika
Global Accelerator uses static IP addresses that are anycast from multiple AWS edge locations. AWS publishes the IP address ranges used by Global Accelerator. Ustvarite sezname predpone po meri ali vključite te obsege IP v svoje omrežne pravila ACL, da omogočite promet iz globalnega pospeševalnika [4].

4. Konfigurirajte vhodna pravila na omrežnih ACL -jih
- Dovoli vhodni promet na vratih, ki jih vaša aplikacija posluša (npr. Vrata TCP 80, 443 ali po meri).
- Dovoli vhodni promet iz globalnih naslovov IP za pospeševalnik ali seznami predpone. To zagotavlja, da lahko promet, ki ga vodi globalni pospeševalnik, doseže vaše končne točke.
- Prepričajte se, da se pravila pravilno naročijo, saj omrežje ACLS procesira pravila v vrstnem redu števila in se uporablja prvo ujemanje pravila [3] [6].

5. Konfigurirajte odhodna pravila na omrežnih ACL -jih
- po potrebi dovolite odhodne odzive na izvorne IPS in vrata. Ker so omrežni ACL brez državljanstva, morate izrecno dovoliti odhodni promet, ki ustreza vhodnim zahtevam.
- Običajno dovolite izhodni promet v efemerna vrata (npr. Vrata TCP 1024-65535), da podpirajo povratni promet strankam ali končne točke globalnega pospeševalnika [3].

6. Povezava omrežja ACL z ustreznimi podomreži
- V konzoli VPC povežite konfigurirano omrežje ACL s podomreži, kjer prebivajo končne točke globalnega pospeševalnika.
- Vsaka podomrežja je lahko povezana z samo enim omrežnim ACL hkrati, zato zagotovite, da se ACL, ki ga konfigurirate, uporabi za vse ustrezne podomrežja [3].

7. Preizkusite in potrdite pretok prometa
- After configuring the network ACLs, test that traffic from Global Accelerator reaches your endpoints correctly.
- Če upravljate z več računi in podomreži, uporabite orodja, kot so dnevniki pretoka VPC ali poročila o skladnosti AWS Firewall Manager. Vodja požarnega zidu lahko pomaga avtomatizirati in spremljati omrežne konfiguracije ACL v vaši organizaciji AWS [3].

8. Izbirno: za centralizirano upravljanje uporabite vodja požarnega zidu AWS
- Če upravljate z več računi ali veliko število podomrežij, razmislite o uporabi AWS Firewall Manager za opredelitev in uveljavljanje omrežnih politik ACL centralno.
- Vodja požarnega zidu lahko samodejno uporabi konfiguracije omrežja ACL za nove podomreži in poročajo o skladnosti [3].

** Dodatne opombe:
- Prepričajte se, da varnostne skupine, povezane z vašimi končnimi točkami, omogočajo tudi promet iz globalnih IP -jev in potrebnih vrat, saj varnostne skupine in omrežni ACL sodelujejo pri nadzoru prometa [6].
- When using custom routing accelerators, ensure that the network ACLs allow traffic to the specific ports used for deterministic routing to EC2 instances within the subnets[6][8].

Z upoštevanjem teh korakov lahko pravilno konfigurirate omrežne ACL -je za zaščito in omogočanje prometnega toka za končne točke AWS globalnega pospeševalnika.

Navedbe:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securityGroup
[5] https://softwareengineering.stackexchange.com/questions/414351/a-recipe-for-handling-an-aws-tnework-request-from-to-finish-at-global-scal
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-global-cecelerator-custom-rout-cecelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke