Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Các bước để định cấu hình ACL mạng cho máy gia tốc toàn cầu là gì


Các bước để định cấu hình ACL mạng cho máy gia tốc toàn cầu là gì


Để định cấu hình ACLS mạng (Danh sách điều khiển truy cập) cho AWS Global Accelerator, hãy làm theo các bước chi tiết sau:

1. Hiểu vai trò của ACL mạng với máy gia tốc toàn cầu
ACL mạng là tường lửa không trạng thái kiểm soát lưu lượng trong và ngoài nước ở cấp mạng con trong VPC của bạn. Khi sử dụng Trình tăng tốc toàn cầu, việc định tuyến lưu lượng truy cập đến các điểm cuối như bộ cân bằng tải hoặc các trường hợp EC2 ở một hoặc nhiều vùng AWS, bạn phải đảm bảo rằng các ACL mạng được liên kết với các mạng con lưu trữ các điểm cuối này cho phép lưu lượng cần thiết. Điều này bao gồm lưu lượng truy cập từ các địa chỉ IP tĩnh của Accelerator toàn cầu và các cổng mà ứng dụng của bạn sử dụng [3] [6].

2. Xác định các mạng con lưu trữ các điểm cuối của bạn
Xác định mạng con VPC nào chứa các điểm cuối (ví dụ: bộ cân bằng tải ứng dụng, bộ cân bằng tải mạng hoặc các trường hợp EC2) mà máy gia tốc toàn cầu sẽ định tuyến lưu lượng truy cập. Đối với máy gia tốc định tuyến tùy chỉnh, bạn thêm một hoặc nhiều mạng con VPC làm điểm cuối [6] [8].

3. Xem lại phạm vi địa chỉ IP của máy gia tốc toàn cầu
Global Accelerator sử dụng các địa chỉ IP tĩnh là Anycast từ nhiều vị trí AWS Edge. AWS xuất bản các phạm vi địa chỉ IP được sử dụng bởi Trình tăng tốc toàn cầu. Bạn nên tạo danh sách tiền tố tùy chỉnh hoặc bao gồm các phạm vi IP này trong các quy tắc ACL mạng của bạn để cho phép lưu lượng truy cập từ Trình tăng tốc toàn cầu [4].

4. Định cấu hình các quy tắc trong nước trên mạng ACLS
- Cho phép lưu lượng truy cập trong các cổng ứng dụng của bạn lắng nghe (ví dụ: cổng TCP 80, 443 hoặc cổng tùy chỉnh).
- Cho phép lưu lượng truy cập trong các phạm vi địa chỉ IP của máy gia tốc toàn cầu hoặc danh sách tiền tố. Điều này đảm bảo rằng lưu lượng được định tuyến bởi máy gia tốc toàn cầu có thể đạt đến điểm cuối của bạn.
- Đảm bảo các quy tắc được đặt hàng chính xác, vì các quy tắc xử lý ACLS mạng theo thứ tự số và quy tắc khớp đầu tiên được áp dụng [3] [6].

5. Định cấu hình các quy tắc ra ngoài trên mạng ACLS
- Cho phép các phản hồi bên ngoài đối với IPS và cổng nguồn khi cần thiết. Vì các ACL mạng không trạng thái, bạn phải cho phép lưu lượng ra một cách rõ ràng tương ứng với các yêu cầu trong nước.
- Thông thường, cho phép lưu lượng truy cập ra ngoài các cổng phù du (ví dụ: các cổng TCP 1024-65535) để hỗ trợ lưu lượng truy cập trở lại cho khách hàng hoặc điểm cuối của máy gia tốc toàn cầu [3].

6. ACL mạng liên kết với các mạng con thích hợp
- Trong bảng điều khiển VPC, liên kết mạng được cấu hình ACL với các mạng con nơi các điểm cuối gia tốc toàn cầu của bạn nằm.
- Mỗi mạng con có thể được liên kết với chỉ một mạng ACL tại một thời điểm, vì vậy hãy đảm bảo rằng ACL bạn định cấu hình được áp dụng cho tất cả các mạng con có liên quan [3].

7. Kiểm tra và xác nhận lưu lượng lưu lượng truy cập
- Sau khi định cấu hình ACL mạng, hãy kiểm tra lưu lượng truy cập từ Trình tăng tốc toàn cầu đến các điểm cuối của bạn một cách chính xác.
- Sử dụng các công cụ như nhật ký luồng VPC hoặc báo cáo tuân thủ Trình quản lý tường lửa AWS Nếu bạn quản lý nhiều tài khoản và mạng con. Trình quản lý tường lửa có thể giúp tự động hóa và giám sát các cấu hình ACL mạng trên toàn tổ chức AWS của bạn [3].

8. Tùy chọn: Sử dụng Trình quản lý tường lửa AWS để quản lý tập trung
- Nếu bạn quản lý nhiều tài khoản hoặc một số lượng lớn các mạng con, hãy xem xét sử dụng Trình quản lý tường lửa AWS để xác định và thực thi các chính sách ACL mạng tập trung.
- Trình quản lý tường lửa có thể tự động áp dụng các cấu hình ACL mạng vào các mạng con mới và báo cáo trạng thái tuân thủ [3].

** Ghi chú bổ sung:
- Đảm bảo rằng các nhóm bảo mật được liên kết với các điểm cuối của bạn cũng cho phép lưu lượng truy cập từ các IP của máy gia tốc toàn cầu và các cổng bắt buộc, vì các nhóm bảo mật và ACL mạng hợp tác với nhau để kiểm soát lưu lượng truy cập [6].
- Khi sử dụng máy gia tốc định tuyến tùy chỉnh, hãy đảm bảo rằng ACL mạng cho phép lưu lượng truy cập đến các cổng cụ thể được sử dụng để định tuyến xác định đến các trường hợp EC2 trong các mạng con [6] [8].

Bằng cách làm theo các bước này, bạn có thể định cấu hình ACL mạng đúng cách để bảo mật và bật luồng lưu lượng cho các điểm cuối của máy gia tốc toàn cầu AWS.

Trích dẫn:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://softwareengineering.stackexchange.com/questions/414351/a-recipe-for-handling-an-aws-network-request-from-start-to-finish-at-global-scal
.
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke