AWS Global Accelerator взаимодействует с группами безопасности в основном через упругие сетевые интерфейсы (ENIS), которые он создает в вашем VPC для управления IP -адресами и маршрутизации трафика для ваших конечных точек. Вот подробное объяснение того, как группы безопасности работают с Global Accelerator:
Упругие сетевые интерфейсы и группы безопасности
- Global Accelerator создает один упругой сетевой интерфейс на подсеть, где у вас есть зарегистрированные конечные точки. Эти ENI являются логическими интерфейсами, которые обрабатывают маршрутизацию трафика, но не представляют ни одного хоста или узкого места; Они являются частью горизонтально масштабированной, высокодоступной услуги [2] [5].
- Все ENIS, созданные Global Accelerator в пределах одного и того же VPC, совместно использует одну группу безопасности, которую Global Accelerator автоматически создает для этого VPC. Это означает, что независимо от того, с какой подсети связана ENI, он использует ту же группу безопасности [2].
- Группа безопасности, созданная Global Accelerator, управляет трафиком, который может переходить к конечным точкам за ускорителем. Вы не должны изменять правила этой группы безопасности, потому что изменения могут вызвать проблемы со здоровьем конечной точки. Если вам нужно настроить доступ, рекомендуется связаться с поддержкой AWS [2].
Использование групп безопасности с конечными точками
- Вы можете использовать Глобальную группу безопасности ускорителя в качестве исходной группы в собственных группах безопасности для ваших конечных точек (например, экземпляры EC2, балансировщики сетевой нагрузки, балансировщики нагрузки приложения). Это позволяет вам ограничить доступ, чтобы разрешить только трафик через глобальный ускоритель, эффективно блокируя прямой доступ к конечным точкам из других источников [2] [8].
- Например, если вы хотите, чтобы ваш балансировщик нагрузки нагрузки (ALB) принимал трафик только от Global Accelerator, вы можете настроить группу безопасности ALB, чтобы разрешить входящий трафик только от глобальной группы безопасности акселератора. Эта настройка повышает безопасность, обеспечивая маршрутизацию всего трафика в ваши конечные точки через глобальный ускоритель [8].
Группы управления IP -адресом и безопасности
- Global Accelerator предоставляет статические IP -адреса Anycast, которые связаны с вашим ускорителем. Эти IPS выступают с ENIS в ваших подсетях VPC. Группа безопасности, прикрепленная к этим ENIS, регулирует трафик, который достигает ваших конечных точек [4] [9].
- Когда вы используете Global Accelerator с конечными точками в частных подсети, вы должны иметь интернет -шлюз, прикрепленный к VPC. Группы безопасности на ваших конечных точках должны быть настроены, чтобы разрешить входящий трафик от глобальной группы безопасности ускорителя или статических IP -адресов для обеспечения надлежащего подключения [5].
Группы по сохранению IP -адреса клиента
- Для определенных типов конечных точек (балансировщики нагрузки приложения, балансировщики сетевой нагрузки с группами безопасности и экземпляры EC2), Global Accelerator может сохранить исходный IP -адрес клиента. Для поддержки этого используются ENIS, созданные Global Accelerator, и группы безопасности должны разрешать трафик соответственно [5] [6].
- Группы безопасности на ваших конечных точках применяются ко всем трафикам, достигающему ваших экземпляров, включая трафик, направленный Global Accelerator. Поэтому вам необходимо убедиться, что ваши группы безопасности разрешают трафик от глобального ускорителя ENIS или связанных с ними IP -диапазонами [5].
лучшие практики
- Не изменяйте группу безопасности, созданную Global Accelerator. Вместо этого настройте группы безопасности конечной точки, чтобы разрешить трафик от Global Accelerator Security Group в качестве источника.
- Используйте частные подсети для ваших конечных точек, если вы хотите ограничить трафик, чтобы пройти только глобальный ускоритель, повышая безопасность.
- Убедитесь, что ваш VPC обладает достаточной емкостью IP -адреса в подсетях, чтобы приспособить ENIS, которую создаст Global Accelerator.
- Если вы хотите строго ограничить доступ к своим конечным точкам через глобальный ускоритель, настройте свои группы безопасности конечной точки соответствующим образом, позволяя только глобальной группе безопасности акселератора в качестве источника [2] [3] [8].
Таким образом, Global Accelerator управляет IP-адресами через упругие сетевые интерфейсы в вашем VPC, каждый из которых связан с глобальной группой безопасности, созданной ускорителем, на VPC. Эта группа безопасности используется для управления потоком трафика в ваши конечные точки, и вы должны настроить свои группы безопасности конечной точки, чтобы разрешить трафику этой группы, чтобы обеспечить безопасную и надежную маршрутизацию запросов клиентов через глобальный ускоритель. Модификация глобальной группы безопасности акселератора не поощряется, чтобы избежать проблем со здоровьем конечной точки. Вместо этого используйте его в качестве источника в ваших собственных группах безопасности, чтобы ограничить доступ только к глобальному трафику акселератора.
Цитаты:
[1] https://docs.aws.amazon.com/global-ccelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-ccelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[4] https://docs.aws.amazon.com/global-ccelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-ccelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-ccelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20accelerator%20user%20guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-ccelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-ccelerator/latest/dg/about-accelerators.eip-ccelerator.html
[10] https://tutorialsdojo.com/aws-global-ccelerator/