Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Які кроки для налаштування мережевих ACL для глобального акселератора


Які кроки для налаштування мережевих ACL для глобального акселератора


Щоб налаштувати мережеві ACL (списки контролю доступу) для AWS Global Accelerator, виконайте ці детальні кроки:

1.
Мережеві ACL - це брандмауери без громадянства, які контролюють вхідний та вихідний трафік на рівні підмережі у вашому VPC. Використовуючи глобальний акселератор, який направляє трафік до кінцевих точок, таких як балансири навантаження або екземпляри EC2 в одному або декількох регіонах AWS, ви повинні переконатися, що мережеві ACL, пов'язані з підмережами, що розміщують ці кінцеві точки, дозволяли необхідний трафік. Сюди входить трафік із статичних IP -адрес Global Accelerator та портів, які використовує ваш додаток [3] [6].

2. Визначте підмережі, що розміщують кінцеві точки
Визначте, які підмережі VPC містять кінцеві точки (наприклад, балансири навантаження додатків, балансири навантаження на мережу або екземпляри EC2), до яких глобальний акселератор буде маршрутизувати трафік. Для користувацького прискорювача маршрутизації ви додаєте один або кілька підмереж VPC як кінцевих точок [6] [8].

3. Перегляньте діапазони IP -адреси Global Accelerator
Global Accelerator використовує статичні IP -адреси, які є будь -якими пристроями з декількох місць AWS Edge. AWS публікує діапазони IP -адреси, що використовується Global Accelerator. Ви повинні створити власні списки префікса або включити ці діапазони IP у ваших правилах мережі ACL, щоб дозволити трафік від глобального акселератора [4].

4. Налаштуйте вхідні правила в мережевих ACL
- Дозволити вхідний трафік на портах, які ваші програми слухають (наприклад, порти TCP 80, 443 або спеціальні порти).
- Дозволити вхідний трафік із глобальних діапазонів IP -адрес або списків префікса. Це гарантує, що трафік, направлений глобальним акселератором, може досягти ваших кінцевих точок.
- Переконайтесь, що правила впорядковуються правильно, як застосовується правила обробки мережевих ACLS у порядку, а перше правило відповідності застосовується [3] [6].

5. Налаштуйте вихідні правила в мережі ACL
- Дозволити вихідні відповіді на джерело IPS та портів за необхідності. Оскільки мережеві ACL є без громадянства, ви повинні чітко дозволити вихідний трафік, який відповідає вхідним запитам.
- Зазвичай дозволяйте вихідний трафік до ефемерних портів (наприклад, портів TCP 1024-65535) для підтримки зворотного трафіку клієнтам або кінцевих точок прискорювача [3].

6. Асоційовані мережеві ACL з відповідними підмережами
- У консолі VPC асоціюйте налаштовану мережу ACL з підмережами, де проживають ваші кінцеві точки глобального акселератора.
- Кожна підмережа може бути пов'язана лише з однією мережевою ACL одночасно, тому переконайтеся, що ACL, який ви налаштовуєте, застосовуються до всіх відповідних підмереж [3].

7. Перевірте та підтверджують потік трафіку
- Після налаштування мережевих ACL перевіряйте, що трафік від глобального акселератора правильно досягає ваших кінцевих точок.
- Використовуйте такі інструменти, як журнали потоку VPC або звіти про відповідність диспетчера брандмауера, якщо ви керуєте декількома обліковими записами та підмережами. Менеджер брандмауера може допомогти автоматизувати та контролювати мережеві конфігурації ACL у вашій організації AWS [3].

8. Необов’язково: Використовуйте менеджера брандмауера AWS для централізованого управління
- Якщо ви керуєте декількома обліковими записами або великою кількістю підмереж, подумайте про використання менеджера брандмауера AWS для визначення та виконання мережевих політиків ACL в центрі.
- Менеджер брандмауера може автоматично застосовувати мережеві конфігурації ACL до нових підмереж та повідомляти про стан відповідності [3].

** Додаткові примітки:
- Переконайтесь, що групи безпеки, пов'язані з вашими кінцевими точками, також дозволяють трафік від глобальних прискорювачів IPS та необхідних портів, оскільки групи безпеки та мережеві ACL працюють разом для контролю трафіку [6].
- При використанні спеціальних прискорювачів маршрутизації переконайтеся, що мережеві ACL дозволяють трафік до конкретних портів, що використовуються для детермінованої маршрутизації до екземплярів EC2 в підмереж [6] [8].

Дотримуючись цих кроків, ви можете правильно налаштувати мережеві ACL для захисту та введення потоку трафіку для кінцевих точок акселератора AWS.

Цитати:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://softwareengineering.stackexchange.com/questions/414351/a-recipe-for-handling-an-aws-network-request-from-start-to-finish-at-global-scal
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-global-accelerator-custom-routing-accelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=CUYVZTD9VKE