Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon 为全局加速器配置网络ACL的步骤是什么


为全局加速器配置网络ACL的步骤是什么


要为AWS Global Accelerator配置网络ACL(访问控制列表),请执行以下详细步骤:

1。了解网络ACL与全球加速器的作用
网络ACL是无状态的防火墙,可控制VPC内的子网级别的入站和出站流量。当使用全局加速器(将流量路由到一个或多个AWS区域中的诸如负载平衡器或EC2实例之类的端点)时,您必须确保与托管这些端点的子网相关的网络ACL允许必要的流量。这包括来自Global Accelerator静态IP地址的流量以及您的应用程序使用的端口[3] [6]。

2。确定托管端点的子网
确定哪个VPC子网包含端点(例如,应用负载平衡器,网络负载平衡器或EC2实例)将全局加速器将流量路由到达。对于自定义路由加速器,您可以将一个或多个VPC子网添加为端点[6] [8]。

3。查看全局加速器IP地址范围
全局加速器使用静态IP地址,这些地址是多个AWS边缘位置的任何广播。 AWS发布了全局加速器使用的IP地址范围。您应该创建自定义前缀列表,或在网络ACL规则中包含这些IP范围,以允许全局加速器的流量[4]。

4。在网络ACL上配置入站规则
- 允许您的应用程序上的入站流量听到(例如,TCP端口80、443或自定义端口)。
- 允许全局加速器IP地址范围或前缀列表中的入站流量。这样可以确保全球加速器路由的流量可以到达您的端点。
- 确保正确排序规则,因为网络ACLS进程数字顺序规则,并应用第一个匹配规则[3] [6]。

5。在网络ACL上配置出站规则
- 根据需要允许对源IP和端口的出站响应。由于网络ACL是无状态的,因此您必须明确允许与入站请求相对应的出站流量。
- 通常,允许出站流量到短暂的端口(例如,TCP端口1024-65535)支持向客户或全球加速器端点的返回流量[3]。

6。将网络ACL与适当的子网相关联
- 在VPC控制台中,将配置的网络ACL与您的全局加速器端点所在的子网相关联。
- 每个子网一次只能与一个网络ACL关联,因此请确保将您配置的ACL应用于所有相关子网[3]。

7。测试和验证交通流量
- 配置网络ACL后,测试来自全局加速器的流量正确到达您的端点。
- 如果您管理多个帐户和子网,请使用VPC Flow Logs等工具或AWS防火墙管理器合规性报告。防火墙管理器可以帮助自动化和监视您的AWS组织中的网络ACL配置[3]。

8。可选:使用AWS防火墙经理进行集中管理
- 如果您管理多个帐户或大量子网,请考虑使用AWS防火墙管理器中心定义和执行网络ACL策略。
- 防火墙管理器可以自动将网络ACL配置应用于新子网并报告合规性状态[3]。

**其他注释:
- 确保与您的端点关联的安全组还允许全局加速器IPS和所需端口的流量,因为安全组和网络ACL共同努力控制流量[6]。
- 使用自定义路由加速器时,请确保网络ACL允许通往用于确定性路由的特定端口到子网内的EC2实例[6] [8]。

通过遵循以下步骤,您可以正确配置网络ACL,以确保AWS Global Accelerator端点的流量流。

引用:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[2] https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html
[3] https://docs.aws.amazon.com/pdfs/global-accelerator/latest/dg/global-accelerator-guide.pdf
[4] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-endpoint-access-by-securitygroup
[5] https://softwareengineering.stackexchange.com/questions/414351/a-recipe-for andling-andling-an-aws-network-request-request-from-start-from-start--start-toar to-finish-at------------------
[6] https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-global-accelerator-custom-routing-accelerators/
[7] https://boto3.amazonaws.com/v1/documentation/api/1.16.27/reference/services/globalaccelerator.html
[8] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-get-started.html
[9] https://www.youtube.com/watch?v=cuyvztd9vke