AWS Global Accelerator는 IP 주소 관리 및 엔드 포인트로의 트래픽 라우팅을 위해 VPC에서 생성하는 ENIS (Elastic Network Interfaces)를 통해 주로 보안 그룹과 상호 작용합니다. 다음은 보안 그룹이 Global Accelerator와 어떻게 작동하는지에 대한 자세한 설명입니다.
탄성 네트워크 인터페이스 및 보안 그룹
-Global Accelerator는 엔드 포인트가 등록 된 서브넷 당 하나의 탄성 네트워크 인터페이스를 만듭니다. 이 ENI는 트래픽 라우팅을 처리하지만 단일 호스트 또는 병목 현상을 나타내지 않는 논리적 인터페이스입니다. 그것들은 수평 적으로 스케일링 된 고도로 이용 가능한 서비스의 일부입니다 [2] [5].
-Global Accelerator가 동일한 VPC 내에서 생성 한 모든 ENI는 Global Accelerator가 해당 VPC를 자동으로 생성하는 단일 보안 그룹을 공유합니다. 이것은 어떤 서브넷 A ENI와 관련이 있는지에 관계없이 동일한 보안 그룹을 사용한다는 것을 의미합니다 [2].
-Global Accelerator가 만든 보안 그룹은 가속기 뒤의 엔드 포인트로 흐를 수있는 트래픽을 제어합니다. 변경 사항이 엔드 포인트 건강 문제를 일으킬 수 있으므로이 보안 그룹의 규칙을 수정해서는 안됩니다. 액세스를 조정 해야하는 경우 AWS 지원 [2]에 연락하는 것이 좋습니다.
엔드 포인트가있는 보안 그룹 사용
- Global Accelerator Security Group을 엔드 포인트 (예 : EC2 인스턴스, 네트워크로드 밸런서, 애플리케이션로드 밸런서)에 대한 보안 그룹의 소스 그룹으로 사용할 수 있습니다. 이를 통해 글로벌 가속기를 통한 트래픽 만 허용되도록 액세스를 제한 할 수 있으므로 다른 소스의 엔드 포인트에 대한 직접 액세스를 효과적으로 차단할 수 있습니다 [2] [8].
- 예를 들어, 애플리케이션로드 밸런서 (ALB)가 글로벌 가속기에서만 트래픽을 수락하도록하려면 ALB의 보안 그룹이 글로벌 가속기 보안 그룹에서만 인바운드 트래픽을 허용하도록 구성 할 수 있습니다. 이 설정은 엔드 포인트로의 모든 트래픽이 글로벌 가속기를 통해 라우팅되도록하여 보안을 향상시킵니다 [8].
IP 주소 관리 및 보안 그룹
-Global Accelerator는 가속기와 관련된 정적 Anycast IP 주소를 제공합니다. 이 IP는 VPC 서브넷의 ENIS에 의해 앞면입니다. 이 ENIS에 첨부 된 보안 그룹은 엔드 포인트에 도달하는 트래픽을 관리합니다 [4] [9].
- 개인 서브넷에 엔드 포인트가있는 글로벌 가속기를 사용하면 VPC에 인터넷 게이트웨이가 첨부되어 있어야합니다. 엔드 포인트의 보안 그룹은 글로벌 가속기 보안 그룹 또는 정적 IP 주소의 인바운드 트래픽을 허용하여 올바른 연결성을 보장하도록 구성해야합니다 [5].
클라이언트 IP 주소 보존 및 보안 그룹
- 특정 엔드 포인트 유형 (애플리케이션로드 밸런서, 보안 그룹이있는 네트워크로드 밸런서 및 EC2 인스턴스)의 경우, 글로벌 가속기는 원래 클라이언트 IP 주소를 보존 할 수 있습니다. 이를 지원하기 위해 Global Accelerator가 만든 ENI가 사용되며 보안 그룹은 그에 따라 트래픽을 허용해야합니다 [5] [6].
- 엔드 포인트의 보안 그룹은 Global Accelerator가 전달한 트래픽을 포함하여 인스턴스에 도착하는 모든 트래픽에 적용됩니다. 따라서 보안 그룹이 글로벌 가속기 ENI 또는 관련 IP 범위의 트래픽을 허용해야합니다 [5].
모범 사례
- Global Accelerator가 만든 보안 그룹을 수동으로 수정하지 마십시오. 대신, 엔드 포인트 보안 그룹을 구성하여 글로벌 가속기 보안 그룹의 트래픽을 소스로 허용하십시오.
- 전 세계 가속기를 통해서만 트래픽을 제한하여 보안을 향상시키기 위해 트래픽을 제한하려는 경우 엔드 포인트에 개인 서브넷을 사용하십시오.
- VPC가 서브넷에 충분한 IP 주소 용량을 갖도록하여 글로벌 가속기가 생성 할 ENI를 수용 할 수 있습니다.
- 글로벌 가속기를 통해 엔드 포인트에 대한 액세스를 엄격히 제한하려면 글로벌 가속기 보안 그룹 만 소스로 허용하여 엔드 포인트 보안 그룹을 구성하십시오 [2] [3] [8].
요약하면, Global Accelerator는 VPC의 탄성 네트워크 인터페이스를 통해 IP 주소를 관리합니다. 이 보안 그룹은 엔드 포인트로의 트래픽 흐름을 제어하는 데 사용되며 엔드 포인트 보안 그룹을 구성 하여이 그룹의 트래픽을 통해 글로벌 가속기를 통해 클라이언트 요청의 안전하고 안정적인 라우팅을 보장해야합니다. 글로벌 가속기 보안 그룹을 수정하는 것은 엔드 포인트 건강 문제를 피하기 위해 권장하지 않습니다. 대신, 자신의 보안 그룹의 소스로 사용하여 글로벌 가속기 트래픽에 대한 액세스를 제한하십시오.
인용 :
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-lworks.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20accelerator%20user%20guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/