Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon ขั้นตอนในการกำหนดค่า ACL เครือข่ายสำหรับตัวเร่งความเร็วทั่วโลกคืออะไร


ขั้นตอนในการกำหนดค่า ACL เครือข่ายสำหรับตัวเร่งความเร็วทั่วโลกคืออะไร


ในการกำหนดค่าเครือข่าย ACLS (รายการควบคุมการเข้าถึง) สำหรับ AWS Global Accelerator ให้ทำตามขั้นตอนโดยละเอียดเหล่านี้:

1. เข้าใจบทบาทของเครือข่าย ACL ด้วยตัวเร่งความเร็วทั่วโลก
ACL เครือข่ายเป็นไฟร์วอลล์ไร้สัญชาติที่ควบคุมการรับส่งข้อมูลขาเข้าและขาออกที่ระดับย่อยภายใน VPC ของคุณ เมื่อใช้เครื่องเร่งความเร็วทั่วโลกซึ่งกำหนดเส้นทางการรับส่งข้อมูลไปยังจุดสิ้นสุดเช่นโหลดบาลานซ์หรืออินสแตนซ์ EC2 ในภูมิภาค AWS หนึ่งภูมิภาคหรือมากกว่าคุณต้องตรวจสอบให้แน่ใจว่าเครือข่าย ACLs ที่เกี่ยวข้องกับเครือข่ายย่อยที่โฮสต์จุดสิ้นสุดเหล่านี้อนุญาตให้มีการรับส่งข้อมูลที่จำเป็น ซึ่งรวมถึงการรับส่งข้อมูลจากที่อยู่ IP แบบคงที่ของ Global Accelerator และพอร์ตแอปพลิเคชันที่คุณใช้ [3] [6]

2. ระบุเครือข่ายย่อยที่โฮสต์จุดสิ้นสุดของคุณ
พิจารณาว่าย่อย VPC ใดที่มีจุดสิ้นสุด (เช่นแอปพลิเคชันโหลดบาลานซ์แอปพลิเคชันโหลดบาลานซ์เครือข่ายหรืออินสแตนซ์ EC2) ที่ตัวเร่งความเร็วทั่วโลกจะกำหนดเส้นทางการรับส่งข้อมูลไปยัง สำหรับตัวเร่งความเร็วที่กำหนดเองคุณเพิ่มเครือข่ายย่อย VPC หนึ่งรายการขึ้นไปเป็นจุดสิ้นสุด [6] [8]

3. ทบทวนช่วงที่อยู่ IP ของตัวเร่งความเร็วทั่วโลก
Global Accelerator ใช้ที่อยู่ IP แบบคงที่ซึ่งเป็นอะไรจากหลาย ๆ ตำแหน่ง AWS Edge AWS เผยแพร่ช่วงที่อยู่ IP ที่ใช้โดย Global Accelerator คุณควรสร้างรายการคำนำหน้าแบบกำหนดเองหรือรวมช่วง IP เหล่านี้ในกฎ ACL เครือข่ายของคุณเพื่ออนุญาตการรับส่งข้อมูลจาก Global Accelerator [4]

4. กำหนดค่ากฎขาเข้าบนเครือข่าย ACLS
- อนุญาตให้มีการรับส่งข้อมูลขาเข้าบนพอร์ตแอปพลิเคชันของคุณฟัง (เช่นพอร์ต TCP 80, 443 หรือพอร์ตที่กำหนดเอง)
- อนุญาตการรับส่งข้อมูลขาเข้าจากที่อยู่ IP ของตัวเร่งความเร็วทั่วโลกหรือรายการคำนำหน้า สิ่งนี้ทำให้มั่นใจได้ว่าการรับส่งข้อมูลที่กำหนดโดย Global Accelerator สามารถไปถึงจุดสิ้นสุดของคุณได้
- ตรวจสอบให้แน่ใจว่ามีการสั่งซื้อกฎอย่างถูกต้องเนื่องจากกฎกระบวนการ ACLS เครือข่ายในลำดับจำนวนและกฎการจับคู่แรกถูกนำไปใช้ [3] [6]

5. กำหนดค่ากฎขาออกบนเครือข่าย ACLS
- อนุญาตการตอบกลับขาออกไปยังแหล่ง IPS และพอร์ตตามความจำเป็น เนื่องจาก ACL เครือข่ายไร้สัญชาติคุณต้องอนุญาตให้มีการรับส่งข้อมูลขาออกที่สอดคล้องกับคำขอขาเข้าอย่างชัดเจน
- โดยทั่วไปอนุญาตให้มีการรับส่งข้อมูลขาออกไปยังพอร์ตชั่วคราว (เช่นพอร์ต TCP 1024-65535) เพื่อรองรับการรับส่งข้อมูลกลับไปยังลูกค้าหรือจุดสิ้นสุดของตัวเร่งความเร็วทั่วโลก [3]

6. ACTENETION ACLS กับเครือข่ายย่อยที่เหมาะสม
- ในคอนโซล VPC เชื่อมโยงเครือข่าย ACL ที่กำหนดค่าไว้กับเครือข่ายย่อยที่จุดสิ้นสุดของคันเร่งทั่วโลกของคุณอยู่
- แต่ละซับเน็ตสามารถเชื่อมโยงกับ ACL เครือข่ายเดียวในแต่ละครั้งดังนั้นตรวจสอบให้แน่ใจว่า ACL ที่คุณกำหนดค่าจะถูกนำไปใช้กับเครือข่ายย่อยที่เกี่ยวข้องทั้งหมด [3]

7. ทดสอบและตรวจสอบการไหลของการจราจร
- หลังจากกำหนดค่า ACL เครือข่ายให้ทดสอบการรับส่งข้อมูลจากตัวเร่งความเร็วทั่วโลกถึงจุดสิ้นสุดของคุณอย่างถูกต้อง
- ใช้เครื่องมือเช่นบันทึกการไหลของ VPC หรือรายงานการปฏิบัติตามมาตรฐาน AWS Firewall Manager หากคุณจัดการหลายบัญชีและเครือข่ายย่อย Firewall Manager สามารถช่วยอัตโนมัติและตรวจสอบการกำหนดค่า ACL เครือข่ายในองค์กร AWS ของคุณ [3]

8. ตัวเลือก: ใช้ AWS Firewall Manager สำหรับการจัดการส่วนกลาง
- หากคุณจัดการหลายบัญชีหรือเครือข่ายย่อยจำนวนมากให้พิจารณาใช้ AWS Firewall Manager เพื่อกำหนดและบังคับใช้นโยบาย ACL เครือข่ายส่วนกลาง
- ตัวจัดการไฟร์วอลล์สามารถใช้การกำหนดค่า ACL เครือข่ายกับเครือข่ายย่อยใหม่และสถานะการปฏิบัติตามรายงาน [3]

** หมายเหตุเพิ่มเติม:
- ตรวจสอบให้แน่ใจว่ากลุ่มความปลอดภัยที่เกี่ยวข้องกับจุดสิ้นสุดของคุณยังอนุญาตให้มีการรับส่งข้อมูลจาก IPS เร่งความเร็วทั่วโลกและพอร์ตที่จำเป็นเนื่องจากกลุ่มความปลอดภัยและ ACL เครือข่ายทำงานร่วมกันเพื่อควบคุมการรับส่งข้อมูล [6]
- เมื่อใช้ตัวเร่งความเร็วการกำหนดเส้นทางที่กำหนดเองตรวจสอบให้แน่ใจว่าเครือข่าย ACLs อนุญาตให้มีการรับส่งข้อมูลไปยังพอร์ตเฉพาะที่ใช้สำหรับการกำหนดเส้นทางที่กำหนดไปยังอินสแตนซ์ EC2 ภายในซับเน็ต [6] [8]

โดยทำตามขั้นตอนเหล่านี้คุณสามารถกำหนดค่าเครือข่าย ACLS เพื่อความปลอดภัยและเปิดใช้งานการไหลของปริมาณการใช้งานสำหรับจุดสิ้นสุดของ AWS Global Accelerator

การอ้างอิง:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[5] https://softwareengineering.stackexchange.com/questions/414351/a-recipe-for-handling-an-aws-network-request-from-start-at-at-global-scal
[6] https://aws.amazon.com/blogs/networking-and-content-delile
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke