A hálózati ACL -ek (Access Control Lists) konfigurálásához az AWS Global Accelerator számára kövesse ezeket a részletes lépéseket:
1. Megérteni a hálózati ACL -ek szerepét a globális gyorsítóval
A hálózati ACL -ek hontalan tűzfalak, amelyek a VPC -n belüli alhálózati szinten ellenőrzik a bejövő és kimenő forgalmat. A globális gyorsító használatakor, amely a forgalmat olyan végpontokhoz vezet, mint például a terheléselosztók vagy az EC2 példányok egy vagy több AWS régióban, gondoskodnia kell arról, hogy az ezen végpontok tároló alhálózatokhoz kapcsolódó hálózati ACL -ek lehetővé tegyék a szükséges forgalmat. Ez magában foglalja a globális gyorsító statikus IP -címeinek forgalmát és az alkalmazás által használt portokat [3] [6].
2. Azonosítsa a végpontjait tároló alhálózatokat
Határozza meg, hogy mely VPC alhálózatok tartalmazzák a végpontokat (például az alkalmazási terheléselosztók, a hálózati terheléselosztók vagy az EC2 példányok), amelyekre a globális gyorsító irányítja a forgalmat. Az egyéni útválasztási gyorsítóhoz egy vagy több VPC alhálózatot adnak végpontként [6] [8].
3. Áttekintés a globális gyorsító IP -címek tartományaira
A Global Accelerator statikus IP -címeket használ, amelyek több AWS Edge helyszínről származnak. Az AWS közzéteszi a Global Accelerator által használt IP -címtartományokat. Készítsen egyedi előtaglistákat, vagy ezeket be kell helyeznie ezeket az IP -tartományokat a hálózati ACL szabályokba, hogy lehetővé tegye a globális gyorsító forgalmát [4].
4. Konfigurálja a bejövő szabályokat a hálózati ACL -ekre
- Engedje meg a bejövő forgalmat azoknak a portoknak, amelyeket az alkalmazás hallgat (például TCP portok 80, 443, vagy egyéni portok).
- Engedje meg a bejövő forgalmat a globális gyorsító IP -címtartományokból vagy az előtagok listájából. Ez biztosítja, hogy a globális gyorsító által irányított forgalom elérje a végpontjait.
- Gondoskodjon arról, hogy a szabályokat helyesen rendezzék, mivel a hálózati ACLS folyamatszabályai szám sorrendben vannak, és az első illesztési szabályt alkalmazzák [3] [6].
5. Konfigurálja a hálózati ACL -ek kimenő szabályait
- Hagyja, hogy szükség esetén kimenő válaszokat adjon a forrás IPS -re és a portokra. Mivel a hálózati ACL -ek hontalanok, kifejezetten engedélyeznie kell a kimenő forgalmat, amely megfelel a bejövő kérelmeknek.
.
6. A hálózati ACL -eket társítják a megfelelő alhálózatokkal
- A VPC konzolban társítsa a konfigurált hálózati ACL -t az alhálózatokkal, ahol a globális gyorsító végpontjai vannak.
- Minden alhálózat egyszerre csak egy hálózati ACL -hez társítható, ezért ellenőrizze, hogy a konfigurált ACL alkalmazza az összes releváns alhálózatot [3].
7. Vizsgálja meg és validálja a forgalom áramlását
- A hálózati ACL -ek konfigurálása után tesztelje, hogy a globális gyorsítóból származó forgalom helyesen érje el a végpontokat.
- Használjon olyan eszközöket, mint a VPC áramlási naplók vagy az AWS Firewall Manager megfelelőségi jelentései, ha több fiókot és alhálózatot kezel. A Firewall Manager segíthet a hálózati ACL konfigurációk automatizálásában és figyelemmel kísérésében az AWS szervezetében [3].
8. Opcionális: Használja az AWS Firewall Manager -t a központosított menedzsmenthez
- Ha több fiókot vagy számos alhálózatot kezel, fontolja meg az AWS Firewall Manager használatát a hálózati ACL -politikák központi meghatározására és érvényesítésére.
- A Firewall Manager automatikusan alkalmazhatja a hálózati ACL konfigurációkat az új alhálózatokra és jelentést tesz a megfelelési állapotról [3].
** További megjegyzések:
- Győződjön meg arról, hogy a végpontokhoz kapcsolódó biztonsági csoportok lehetővé teszik a globális gyorsító IP -k és a szükséges portok forgalmát is, mivel a biztonsági csoportok és a hálózati ACL -ek együtt működnek a forgalom ellenőrzésére [6].
- Az egyéni útválasztási gyorsítók használatakor ellenőrizze, hogy a hálózati ACL -ek lehetővé teszik a forgalmat a determinisztikus útválasztáshoz az EC2 példányokhoz az alhálózatokon belül [6] [8].
Ezeknek a lépéseknek a követésével megfelelően konfigurálhatja a hálózati ACL -eket az AWS globális gyorsító végpontjai számára a forgalom biztonságához és engedélyezéséhez.
Idézetek:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-ackelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securityGroup
[5] https://softwareEngineering.stackexchange.com/questions/414351/a-recipe-for handling-an-aws-network-request-start-finis-at-t-global-scal
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-global-accelerator-custom- routing-ackelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-et-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke