Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon كيف تتفاعل مجموعات الأمن مع المعجل العالمي لإدارة عناوين IP


كيف تتفاعل مجموعات الأمن مع المعجل العالمي لإدارة عناوين IP


يتفاعل AWS Global Accelerator مع مجموعات الأمان بشكل أساسي من خلال واجهات الشبكة المرنة (ENIS) التي تنشئها في VPC لإدارة عناوين IP وتوجيه حركة المرور إلى نقاط النهاية الخاصة بك. فيما يلي شرح مفصل لكيفية عمل مجموعات الأمن مع المسرع العالمي:

واجهات الشبكة المرنة ومجموعات الأمان

- ينشئ Global Accelerator واجهة شبكة مرنة واحدة لكل شبكة فرعية حيث لديك نقاط نهاية مسجلة. هذه enis هي واجهات منطقية تتعامل مع توجيه حركة المرور ولكنها لا تمثل مضيفًا واحدًا أو عنق الزجاجة ؛ إنها جزء من خدمة أفقيًا متوفرة ومتاحة للغاية [2] [5].

- تشترك جميع enis التي تم إنشاؤها بواسطة Global Accelerator في نفس VPC في مجموعة أمان واحدة تقوم شركة Accelerator Global تلقائيًا بإنشائها تلقائيًا لهذا VPC. هذا يعني بغض النظر عن الشبكة الفرعية التي ترتبط بها eni ، فإنها تستخدم نفس مجموعة الأمان [2].

- تتحكم مجموعة الأمن التي أنشأتها Global Accelerator في حركة المرور التي يمكن أن تتدفق إلى نقاط النهاية خلف المسرع. يجب ألا تعدل قواعد هذه المجموعة الأمنية لأن التغييرات يمكن أن تسبب مشكلات صحة نقطة النهاية. إذا كنت بحاجة إلى ضبط الوصول ، فمن المستحسن الاتصال بدعم AWS [2].

باستخدام مجموعات الأمان مع نقاط النهاية

- يمكنك استخدام Global Accelerator Security Group كمجموعة مصدر في مجموعات الأمان الخاصة بك لنقاط النهاية الخاصة بك (على سبيل المثال ، مثيلات EC2 ، موازنات تحميل الشبكة ، موازنات تحميل التطبيق). يتيح لك ذلك تقييد الوصول بحيث يُسمح فقط بحركة المرور القادمة عبر المسرع العالمي ، مما يمنع الوصول المباشر بشكل فعال إلى نقاط النهاية من مصادر أخرى [2] [8].

- على سبيل المثال ، إذا كنت تريد أن تقبل Applic Load Balancer (ALB) حركة المرور فقط من شركة Accelerator Global ، فيمكنك تكوين مجموعة أمان ALB للسماح بحركة المرور الواردة فقط من مجموعة أمان Accelerator العالمية. يعزز هذا الإعداد الأمان من خلال ضمان توجيه جميع حركة المرور إلى نقاط النهاية الخاصة بك من خلال التسريع العالمي [8].

مجموعات إدارة عناوين IP ومجموعات الأمان

- يوفر Global Accelerator عناوين IP الثابتة التي ترتبط بمسرعك. يتم تواجد هذه IPS بواسطة ENIS في شبكات VPC الخاصة بك. تحكم مجموعة الأمن المرتبطة بهذه Enis حركة المرور التي تصل إلى نقاط النهاية الخاصة بك [4] [9].

- عند استخدام Global Accelerator مع نقاط النهاية في شبكات فرعية خاصة ، يجب أن يكون لديك بوابة إنترنت متصلة بـ VPC. يجب تكوين مجموعات الأمان في نقاط النهاية الخاصة بك للسماح بحركة المرور الواردة من مجموعة أمان Accelerator العالمية أو عناوين IP الثابت لضمان الاتصال المناسب [5].

مجموعات محافظة عنوان IP للعميل والأمان

- بالنسبة لأنواع معينة من نقاط النهاية (موازنات تحميل التطبيق ، وموازنات تحميل الشبكة مع مجموعات الأمان ، وحالات EC2) ، يمكن لـ Global Accelerator الحفاظ على عنوان IP الأصلي للعميل. لدعم ذلك ، يتم استخدام ENIS الذي تم إنشاؤه بواسطة Global Accelerator ، ويجب أن تسمح مجموعات الأمن بحركة المرور وفقًا لذلك [5] [6].

- تنطبق مجموعات الأمان على نقاط النهاية الخاصة بك على جميع حركة المرور التي تصل إلى مثيلاتك ، بما في ذلك حركة المرور التي يتم إعادة توجيهها بواسطة Global Accelerator. لذلك ، تحتاج إلى التأكد من أن مجموعات الأمان الخاصة بك تسمح بحركة المرور من ENIS للمعجل العالمي أو نطاقات IP المرتبطة بها [5].

أفضل الممارسات

- لا تقم بتعديل مجموعة الأمان التي أنشأتها شركة Accelerator العالمية يدويًا. بدلاً من ذلك ، قم بتكوين مجموعات أمان نقطة النهاية الخاصة بك للسماح بحركة المرور من مجموعة أمان Accelerator العالمية كمصدر.

- استخدم شبكات فرعية خاصة لنقاط النهاية الخاصة بك إذا كنت ترغب في تقييد حركة المرور للوصول فقط من خلال التسريع العالمي ، وتعزيز الأمن.

- تأكد من أن VPC لديك سعة عنوان IP كافية في الشبكات الفرعية لاستيعاب Enis الذي سيتم إنشاؤه المعجل العالمي.

- إذا كنت ترغب في الحد من الوصول إلى نقاط النهاية الخاصة بك بشكل صارم عبر Accelerator Global ، فقم بتكوين مجموعات أمان نقطة النهاية وفقًا لذلك من خلال السماح فقط لمجموعة أمان Accelerator العالمية فقط كمصدر [2] [3] [8].

باختصار ، يدير Global Accelerator عناوين IP من خلال واجهات الشبكة المرنة في VPC الخاص بك ، كل منها مرتبط بمجموعة أمان عالمية تم إنشاؤها للمعجل لكل VPC. يتم استخدام مجموعة الأمان هذه للتحكم في تدفق حركة المرور إلى نقاط النهاية الخاصة بك ، ويجب عليك تكوين مجموعات أمان نقطة النهاية الخاصة بك للسماح بحركة المرور من هذه المجموعة لضمان توجيه آمن وموثوق لطلبات العميل عبر Global Accelerator. يتم تثبيط تعديل مجموعة أمن Accelerator العالمية لتجنب مشكلات صحة نقطة النهاية. بدلاً من ذلك ، استخدمه كمصدر في مجموعات الأمان الخاصة بك لتقييد الوصول إلى حركة المرور العالمية فقط.

الاستشهادات:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global٪20accelerator٪20user٪20guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxydtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/