AWS Global Accelerator interagiert mit Sicherheitsgruppen hauptsächlich über die Elastic Network Interfaces (ENIs), die in Ihrem VPC für IP -Adressmanagement und Verkehrsrouting an Ihre Endpunkte erstellt wird. Hier finden Sie eine detaillierte Erklärung, wie Sicherheitsgruppen mit Global Accelerator zusammenarbeiten:
Elastische Netzwerkschnittstellen und Sicherheitsgruppen
- Global Accelerator erstellt eine elastische Netzwerkschnittstelle pro Subnetz, in der Endpunkte registriert sind. Diese ENIs sind logische Schnittstellen, die Verkehrsrouting verarbeiten, aber keinen einzigen Host oder Engpass darstellen. Sie sind Teil eines horizontal skalierten, hoch verfügbaren Service [2] [5].
- Alle von Global Accelerator in derselben VPC erstellten ENIs teilen eine einzelne Sicherheitsgruppe, die Global Accelerator für diesen VPC automatisch erstellt. Dies bedeutet, dass das Subnetz, mit dem ein ENI zugeordnet ist, dieselbe Sicherheitsgruppe verwendet [2].
- Die von Global Accelerator erstellte Sicherheitsgruppe steuert den Verkehr, der zu den Endpunkten hinter dem Beschleuniger fließen kann. Sie sollten die Regeln dieser Sicherheitsgruppe nicht ändern, da Änderungen Endpunkt -Gesundheitsprobleme verursachen können. Wenn Sie den Zugriff anpassen müssen, wird empfohlen, AWS -Support [2] zu kontaktieren.
Verwenden von Sicherheitsgruppen mit Endpunkten
- Sie können die Global Accelerator Security Group als Quellgruppe in Ihren eigenen Sicherheitsgruppen für Ihre Endpunkte (z. B. EC2 -Instanzen, Netzwerkbelastungsbalancer, Anwendungslastausgleicher) verwenden. Auf diese Weise können Sie den Zugriff einschränken, so dass nur der Datenverkehr durch globale Beschleuniger zulässig ist, was den direkten Zugriff auf die Endpunkte aus anderen Quellen effektiv blockiert [2] [8].
- Wenn Sie beispielsweise möchten, dass Ihr Anwendungslastbalancer (ALB) den Datenverkehr nur von Global Accelerator akzeptiert, können Sie die ALB -Sicherheitsgruppe so konfigurieren, dass eingehender Verkehr nur von der Global Accelerator Security Group ermöglicht. Dieses Setup verbessert die Sicherheit, indem sichergestellt wird, dass der gesamte Verkehr zu Ihren Endpunkten über Global Accelerator [8] geleitet wird.
IP -Adressmanagement- und Sicherheitsgruppen
- Global Accelerator bietet statische Anycast -IP -Adressen an, die mit Ihrem Beschleuniger verbunden sind. Diese IPs werden von den ENIs in Ihren VPC -Subnetzen befreit. Die an diese enis angehängte Sicherheitsgruppe regelt den Verkehr, der Ihre Endpunkte erreicht [4] [9].
- Wenn Sie Global Accelerator mit Endpunkten in privaten Subnetzen verwenden, müssen Sie ein Internet -Gateway am VPC angeschlossen haben. Die Sicherheitsgruppen in Ihren Endpunkten müssen konfiguriert sein, um eingehenden Verkehr von der globalen Beschleuniger -Sicherheitsgruppe oder den statischen IP -Adressen zu ermöglichen, um eine ordnungsgemäße Konnektivität zu gewährleisten [5].
Client IP -Adresse und Sicherheitsgruppen **
- Für bestimmte Endpunkttypen (Anwendungslastbalancer, Netzwerklastbalancer mit Sicherheitsgruppen und EC2 -Instanzen) kann Global Accelerator die ursprüngliche Client -IP -Adresse aufbewahren. Um dies zu unterstützen, werden die von Global Accelerator erstellten ENIs verwendet, und die Sicherheitsgruppen müssen den Verkehr entsprechend zulassen [5] [6].
- Die Sicherheitsgruppen Ihrer Endpunkte gelten für alle Datenverkehr, die in Ihren Fällen eintreffen, einschließlich des von Global Accelerator weitergeleiteten Datenverkehrs. Daher müssen Sie sicherstellen, dass Ihre Sicherheitsgruppen den Datenverkehr von der globalen Beschleuniger enis oder ihren zugehörigen IP -Bereichen ermöglichen [5].
Best Practices
- Ändern Sie die von Global Accelerator erstellte Sicherheitsgruppe nicht manuell. Konfigurieren Sie stattdessen Ihre Endpoint -Sicherheitsgruppen, um den Datenverkehr von der globalen Beschleuniger -Sicherheitsgruppe als Quelle zu ermöglichen.
- Verwenden Sie private Subnetze für Ihre Endpunkte, wenn Sie den Verkehr einschränken möchten, um nur durch globale Beschleuniger zu gelangen und die Sicherheit zu verbessern.
- Stellen Sie sicher, dass Ihr VPC in den Unternetzen über eine über ausreichende IP -Adresskapazität verfügt, um den ENIs, das globaler Beschleuniger erzeugt, zu ermöglichen.
- Wenn Sie den Zugriff auf Ihre Endpunkte streng über Global Accelerator einschränken möchten, konfigurieren Sie Ihre Endpunkt -Sicherheitsgruppen entsprechend, indem Sie nur die globale Beschleuniger -Sicherheitsgruppe als Quelle ermöglichen [2] [3] [8].
Zusammenfassend verwaltet Global Accelerator IP-Adressen über elastische Netzwerkschnittstellen in Ihrem VPC, die jeweils einer globalen Beschleuniger-Sicherheitsgruppe pro VPC zugeordnet sind. Diese Sicherheitsgruppe wird verwendet, um den Verkehrsfluss auf Ihre Endpunkte zu steuern, und Sie sollten Ihre Endpoint -Sicherheitsgruppen so konfigurieren, dass der Datenverkehr aus dieser Gruppe ein sicheres und zuverlässiges Routing von Kundenanforderungen über globaler Beschleuniger sicherstellt. Die Änderung der globalen Beschleunigersicherheitsgruppe ist entmutigt, um Endpunkt -Gesundheitsprobleme zu vermeiden. Verwenden Sie es stattdessen als Quelle in Ihren eigenen Sicherheitsgruppen, um den Zugriff auf nur globale Beschleunigerverkehr einzuschränken.
Zitate:
[1] https://docs.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[4] https://docs.amazon.com/global-accelerator/latest/dg/inTroduction-how-it-works.html
[5] https://docs.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20accelerator%20User%20guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/