Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Hvordan interagerer sikkerhedsgrupper med global accelerator til IP -adressestyring


Hvordan interagerer sikkerhedsgrupper med global accelerator til IP -adressestyring


AWS Global Accelerator interagerer med sikkerhedsgrupper primært gennem de elastiske netværksgrænseflader (ENIS), det skaber i din VPC til IP -adressehåndtering og trafikrutning til dine slutpunkter. Her er en detaljeret forklaring af, hvordan sikkerhedsgrupper fungerer med global accelerator:

Elastiske netværksgrænseflader og sikkerhedsgrupper

- Global Accelerator opretter en elastisk netværksgrænseflade pr. Undernet, hvor du har registreret slutpunkter. Disse ENIS er logiske grænseflader, der håndterer trafikruting, men ikke repræsenterer en enkelt vært eller flaskehals; De er en del af en vandret skaleret, meget tilgængelig service [2] [5].

- Alle ENIS oprettet af Global Accelerator inden for den samme VPC deler en enkelt sikkerhedsgruppe, som Global Accelerator automatisk skaber til denne VPC. Dette betyder, uanset hvilket undernet en eni der er forbundet med, den bruger den samme sikkerhedsgruppe [2].

- Sikkerhedsgruppen oprettet af Global Accelerator kontrollerer den trafik, der kan flyde til slutpunkterne bag acceleratoren. Du skal ikke ændre reglerne for denne sikkerhedsgruppe, fordi ændringer kan forårsage slutpoint sundhedsspørgsmål. Hvis du har brug for at justere adgangen, anbefales det at kontakte AWS -support [2].

Brug af sikkerhedsgrupper med slutpunkter

- Du kan bruge Global Accelerator Security Group som kildegruppe i dine egne sikkerhedsgrupper til dine slutpunkter (f.eks. EC2 -forekomster, netværksbelastningsbalancere, applikationsbelastningsbalancere). Dette giver dig mulighed for at begrænse adgangen, så kun trafik, der kommer gennem global accelerator, er tilladt, hvilket effektivt blokerer for direkte adgang til slutpunkterne fra andre kilder [2] [8].

- For eksempel, hvis du vil have, at din applikationsbelastningsbalancer (ALB) kun accepterer trafik fra Global Accelerator, kan du konfigurere Alb's Security Group for at tillade indgående trafik fra Global Accelerator Security Group. Denne opsætning forbedrer sikkerheden ved at sikre, at al trafik til dine slutpunkter dirigeres gennem global accelerator [8].

IP -adressestyring og sikkerhedsgrupper

- Global Accelerator leverer statiske Anycast IP -adresser, der er forbundet med din accelerator. Disse IP'er er frontet af ENIS i dine VPC -undernet. Sikkerhedsgruppen knyttet til disse ENIS styrer trafikken, der når dine slutpunkter [4] [9].

- Når du bruger global accelerator med slutpunkter i private undernet, skal du have en internet gateway knyttet til VPC. Sikkerhedsgrupperne på dine slutpunkter skal konfigureres for at tillade indgående trafik fra Global Accelerator Security Group eller de statiske IP -adresser for at sikre korrekt forbindelse [5].

Klient IP -adressekonservering og sikkerhedsgrupper

- For bestemte slutpunktstyper (applikationsbelastningsbalancere, netværksbelastningsbalancere med sikkerhedsgrupper og EC2 -forekomster) kan global accelerator bevare den originale klient -IP -adresse. For at støtte dette bruges enis oprettet af global accelerator, og sikkerhedsgrupperne skal tillade trafik i overensstemmelse hermed [5] [6].

- Sikkerhedsgrupperne på dine slutpunkter gælder for al trafik, der ankommer til dine tilfælde, inklusive trafik videresendt af Global Accelerator. Derfor skal du sikre dig, at dine sikkerhedsgrupper tillader trafik fra den globale accelerator ENIS eller deres tilknyttede IP -intervaller [5].

Bedste praksis

- Modificer ikke manuelt den sikkerhedsgruppe, der er oprettet af Global Accelerator. Konfigurer i stedet dine slutpunktsikkerhedsgrupper for at tillade trafik fra Global Accelerator Security Group som kilden.

- Brug private undernet til dine slutpunkter, hvis du vil begrænse trafikken til kun at komme gennem global accelerator, hvilket forbedrer sikkerhed.

- Sørg for, at din VPC har tilstrækkelig IP -adressekapacitet i undernet til at rumme enis, som den globale accelerator vil oprette.

- Hvis du vil begrænse adgangen til dine slutpunkter strengt via global accelerator, skal du konfigurere dine slutpunktsikkerhedsgrupper i overensstemmelse hermed ved kun at tillade den globale acceleratorsikkerhedsgruppe som kilde [2] [3] [8].

Sammenfattende administrerer Global Accelerator IP-adresser gennem elastiske netværksgrænseflader i din VPC, der hver især er forbundet med en global accelerator-oprettet sikkerhedsgruppe pr. VPC. Denne sikkerhedsgruppe bruges til at kontrollere trafikstrømmen til dine slutpunkter, og du skal konfigurere dine slutpunktsikkerhedsgrupper for at give trafik fra denne gruppe mulighed for at sikre sikker og pålidelig routing af klientanmodninger via Global Accelerator. Ændring af Global Accelerator Security Group afskrækkes for at undgå slutpoint sundhedsspørgsmål. Brug det i stedet som en kilde i dine egne sikkerhedsgrupper til at begrænse adgangen til kun global acceleratortrafik.

Citater:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
)
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanal-ga/global%20accelerator%20user%20guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/