AWS Global Accelerator interagerar med säkerhetsgrupper främst genom de elastiska nätverksgränssnitten (ENIS) som den skapar i din VPC för IP -adresshantering och trafikrutning till dina slutpunkter. Här är en detaljerad förklaring av hur säkerhetsgrupper arbetar med Global Accelerator:
Elastiska nätverksgränssnitt och säkerhetsgrupper
- Global Accelerator skapar ett elastiskt nätverksgränssnitt per subnät där du har registrerat slutpunkter. Dessa ENIS är logiska gränssnitt som hanterar trafikruttning men inte representerar en enda värd eller en flaskhals; De är en del av en horisontellt skalad, mycket tillgänglig tjänst [2] [5].
- Alla ENIS skapade av Global Accelerator inom samma VPC delar en enda säkerhetsgrupp som Global Accelerator automatiskt skapar för den VPC. Detta innebär att oavsett vilket subnät ett ENI är associerat med, använder den samma säkerhetsgrupp [2].
- Säkerhetsgruppen som skapats av Global Accelerator styr trafiken som kan flyta till slutpunkterna bakom acceleratorn. Du bör inte ändra reglerna för denna säkerhetsgrupp eftersom förändringar kan orsaka hälsoproblem. Om du behöver justera åtkomst rekommenderas det att kontakta AWS Support [2].
Använda säkerhetsgrupper med slutpunkter
- Du kan använda Global Accelerator Security Group som en källgrupp i dina egna säkerhetsgrupper för dina slutpunkter (t.ex. EC2 -instanser, nätverksbelastningsbalanserare, applikationsbelastningsbalanserare). Detta gör att du kan begränsa åtkomsten så att endast trafik som kommer genom den globala acceleratorn är tillåten, vilket effektivt blockerar direkt tillgång till slutpunkterna från andra källor [2] [8].
- Om du till exempel vill att din applikation Load Balancer (ALB) endast ska acceptera trafik från Global Accelerator kan du konfigurera Albs säkerhetsgrupp för att tillåta inkommande trafik endast från Global Accelerator Security Group. Denna installation förbättrar säkerheten genom att säkerställa att all trafik till dina slutpunkter dirigeras genom Global Accelerator [8].
IP -adresshantering och säkerhetsgrupper
- Global Accelerator tillhandahåller statiska anycast -IP -adresser som är associerade med din accelerator. Dessa IP: er är frontade av ENIS i dina VPC -subnät. Säkerhetsgruppen som är knuten till dessa ENIS styr trafiken som når dina slutpunkter [4] [9].
- När du använder Global Accelerator med slutpunkter i privata undernät måste du ha en internetportväg kopplad till VPC. Säkerhetsgrupperna på dina slutpunkter måste konfigureras för att tillåta inkommande trafik från den globala acceleratorns säkerhetsgrupp eller de statiska IP -adresserna för att säkerställa korrekt anslutning [5].
Klientens IP -adress Konservering och säkerhetsgrupper
- För vissa slutpunktstyper (applikationsbelastningsbalanserare, nätverksbelastningsbalanserare med säkerhetsgrupper och EC2 -instanser) kan Global Accelerator bevara den ursprungliga klientens IP -adress. För att stödja detta används ENIS som skapats av Global Accelerator, och säkerhetsgrupperna måste tillåta trafik i enlighet därmed [5] [6].
- Säkerhetsgrupperna på dina slutpunkter gäller all trafik som anländer till dina fall, inklusive trafik som vidarebefordras av Global Accelerator. Därför måste du se till att dina säkerhetsgrupper tillåter trafik från den globala acceleratorn ENIS eller deras tillhörande IP -intervall [5].
Bästa praxis
- Ändra inte manuellt säkerhetsgruppen som skapats av Global Accelerator. Konfigurera istället dina slutpunktsäkerhetsgrupper för att tillåta trafik från Global Accelerator Security Group som källa.
- Använd privata subnät för dina slutpunkter om du vill begränsa trafiken för att bara komma igenom den globala acceleratorn, vilket förbättrar säkerheten.
- Se till att din VPC har tillräcklig IP -adresskapacitet i undernäten för att tillgodose den enis som den globala acceleratorn kommer att skapa.
- Om du vill begränsa åtkomsten till dina slutpunkter strikt via Global Accelerator, konfigurera dina slutpunktsäkerhetsgrupper i enlighet därmed genom att endast tillåta den globala acceleratorsäkerhetsgruppen som en källa [2] [3] [8].
Sammanfattningsvis hanterar Global Accelerator IP-adresser genom elastiska nätverksgränssnitt i din VPC, var och en associerad med en global acceleratorskapad säkerhetsgrupp per VPC. Denna säkerhetsgrupp används för att kontrollera trafikflödet till dina slutpunkter, och du bör konfigurera dina slutpunktsäkerhetsgrupper för att tillåta trafik från denna grupp för att säkerställa säker och tillförlitlig routing av klientförfrågningar via Global Accelerator. Att modifiera den globala acceleratorns säkerhetsgrupp är avskräckt för att undvika hälsoproblem. Använd istället den som en källa i dina egna säkerhetsgrupper för att begränsa tillgången till endast global acceleratortrafik.
Citeringar:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aGa.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduktion-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20Accelerator%20User%20Guide-Pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/