AWS Global Acceleratori võrgu ACLS -i (pääsukontrolliloendite) konfigureerimiseks järgige neid üksikasjalikke samme:
1. Mõista võrgu ACL -de rolli globaalse kiirendiga
Võrgu ACL -id on kodakondsuseta tulemüürid, mis kontrollivad sissetulevat ja väljuvat liiklust alamvõrgu tasemel teie VPC -s. Globaalse kiirendi kasutamisel, mis suunab liikluse sellistesse lõpp -punktidesse nagu koormuse tasakaalustajad või EC2 eksemplarid ühes või mitmes AWS -i piirkonnas, peate tagama, et neid lõpp -punkte hostivate alamvõrkudega seotud võrgu ACL -id võimaldavad vajalikku liiklust. See hõlmab liiklust globaalse kiirendi staatilistest IP -aadressidest ja teie rakenduse sadamatest [3] [6].
2. Tuvastage lõpp -punktid alamvõrku
Määrake, millised VPC alamvõrku sisaldavad lõpp -punkte (nt rakenduse koormuse tasakaalustajaid, võrgukoormuse tasakaalustajaid või EC2 eksemplare), mille ülemaailmne kiirendaja suunab liiklust. Kohandatud marsruutimiskiirendi jaoks lisate lõpp -punktidena ühe või mitu VPC alamvõrku [6] [8].
3. üle globaalse kiirendi IP -aadresside vahemikud
Global Accelerator kasutab staatilisi IP -aadresse, mis on mitmest AWS Edge asukohast. AWS avaldab IP -aadressivahemikud, mida kasutab Global Accelerator. Peaksite looma kohandatud eesliidete loendid või lisama need IP -vahemikud oma võrgu ACL -i reeglitesse, et võimaldada liiklust globaalsest kiirendist [4].
4. Sissetulevate reeglite konfigureerimine võrgu ACLS -is
- Laske teie rakenduse kuulamistel sissetulevat liiklust (nt TCP pordid 80, 443 või kohandatud pordid).
- Laske sissetulevat liiklust globaalse kiirendi IP -aadresside vahemikest või eesliidete loenditest. See tagab, et Global Acceleratori poolt suunatud liiklus võib jõuda teie lõpp -punktideni.
- Veenduge, et reeglid oleksid õigesti tellitud, kuna võrgu ACLS -i protsessieeskirjad on numbri järjekorras ja rakendatakse esimest vastamisreeglit [3] [6].
5.
- Luba vajadusel väljaminevad vastused allika IP -dele ja pordidele. Kuna võrgu ACL -id on kodakondsuseta, peate selgesõnaliselt lubama väljaminevat liiklust, mis vastab sissetulevatele taotlustele.
- Tavaliselt lubage väljaminev liiklus lühiajalistesse sadamatesse (nt TCP pordid 1024-65535), et toetada klientide liiklust või globaalseid kiirendi lõpp-punkte [3].
6. seostage võrgu ACL -id sobivate alamvõrkudega
- Seostage VPC -konsoolis konfigureeritud võrgu ACL alamvõrkudega, kus elavad teie globaalsed kiirendi lõpp -punktid.
- Iga alamvõrku saab seostada ainult ühe võrgu ACL -ga korraga, nii et veenduge, et teie konfigureeritud ACL -i rakendatakse kõigile asjakohastele alamvõrkudele [3].
7. Testige ja kinnitage liiklusvoog
- Pärast võrgu ACLS -i konfigureerimist testige, et globaalse kiirendi liiklus jõuab teie lõpp -punktideni õigesti.
- Kui haldate mitut kontot ja alamvõrku, kasutage selliseid tööriistu nagu VPC Flow Logs või AWS Firewall Manageri nõuetele vastavuse aruanded. Tulemüürihaldur aitab teie AWS -i organisatsioonis võrgu ACL -i konfiguratsioone automatiseerida ja jälgida [3].
8. Valikuline: kasutage tsentraliseeritud juhtimise jaoks AWS -tulemüürihaldurit
- Kui haldate mitut kontot või suurt hulka alamvõrku, kaaluge AWS Firewalli halduri kasutamist võrgu ACL -i poliitikate tsentraalselt määratlemiseks ja jõustamiseks.
- Tulemüürihaldur saab automaatselt rakendada võrgu ACL -i konfiguratsioone uutele alamvõrkudele ja teatada vastavuse olekule [3].
** Lisamärkused:
- Veenduge, et teie lõpp -punktidega seotud turvarühmad võimaldaksid ka liiklust globaalsest kiirendi IP -dest ja nõutavatest sadamatest, kuna turvarühmad ja võrgu ACL -id töötavad koos liikluse kontrollimiseks [6].
- Kohandatud marsruutimiskiirendite kasutamisel veenduge, et võrgu ACL -id võimaldaksid liiklust konkreetsetesse pordidesse, mida kasutatakse deterministlikuks marsruutimiseks alamvõrkude EC2 eksemplaridesse [6] [8].
Neid samme järgides saate võrgu ACLS -i õigesti konfigureerida, et tagada ja lubada liiklusvoog AWS globaalse kiirendi lõpp -punktide jaoks.
Tsitaadid:
]
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
]
]
]
]
]
]
[9] https://www.youtube.com/watch?v=cuyvztd9vke