AWS Global Accelerator mijiedarbojas ar drošības grupām galvenokārt caur elastīgo tīkla saskarnēm (ENIS), ko tas izveido jūsu VPC IP adreses pārvaldībai un trafika maršrutēšanai uz jūsu parametriem. Šeit ir detalizēts skaidrojums par to, kā drošības grupas darbojas ar globālo paātrinātāju:
Elastīgās tīkla saskarnes un drošības grupas
- Globālais akselerators izveido vienu elastīgu tīkla interfeisu katrā apakštīklā, kur jums ir reģistrēti parametri. Šīs ENIS ir loģiskas saskarnes, kas apstrādā trafika maršrutēšanu, bet nepārstāv vienu resursdatoru vai sašaurinājumu; Tie ir daļa no horizontāli mērogota, ļoti pieejama pakalpojuma [2] [5].
- Visam ENIS, ko globālais akselerators izveidoja vienā un tajā pašā VPC, ir viena drošības grupa, kuru globālais paātrinātājs automātiski izveido šim VPC. Tas nozīmē neatkarīgi no tā, ar kuru apakštīklu ir saistīts ENI, tas izmanto to pašu drošības grupu [2].
- Globālā akseleratora izveidotā drošības grupa kontrolē trafiku, kas var plūst uz galapunktiem aiz akseleratora. Jums nevajadzētu mainīt šīs drošības grupas noteikumus, jo izmaiņas var izraisīt galapunkta veselības problēmas. Ja jums ir jāpielāgo piekļuve, ieteicams sazināties ar AWS atbalstu [2].
Drošības grupu izmantošana ar parametru
- Globālā akseleratora drošības grupu kā avotu grupu varat izmantot savās drošības grupās par galapunktu (piemēram, EC2 gadījumiem, tīkla slodzes līdzsvarotājiem, lietojumprogrammu slodzes līdzsvarotājiem). Tas ļauj ierobežot piekļuvi, lai būtu atļauta tikai trafika, kas nonāk caur globālu paātrinātāju, efektīvi bloķējot tiešu piekļuvi galapunktiem no citiem avotiem [2] [8].
- Piemēram, ja vēlaties, lai jūsu lietojumprogrammas slodzes līdzsvarotājs (ALB) pieņemtu trafiku tikai no globālā paātrinātāja, varat konfigurēt Alb drošības grupu, lai ļautu ienākošajai trafikai tikai no globālās paātrinātāja drošības grupas. Šī iestatīšana uzlabo drošību, nodrošinot, ka visa trafika uz jūsu galapunktu palīdzību tiek novirzīta caur globālo paātrinātāju [8].
IP adreses pārvaldības un drošības grupas
- Globālais akselerators nodrošina statiskas Anycast IP adreses, kas ir saistītas ar jūsu akseleratoru. Šos IPS ir ieslēgts ENIS jūsu VPC apakštīklos. Drošības grupa, kas pievienota šiem ENIS, regulē satiksmi, kas sasniedz jūsu parametrus [4] [9].
- Kad jūs izmantojat globālo paātrinātāju ar galapunktiem privātajos apakštīklos, jums jābūt pievienojamam interneta vārtejai. Jūsu galapunktu drošības grupas ir jākonfigurē tā, lai ļautu ienākošai trafikai no globālās paātrinātāja drošības grupas vai statiskās IP adreses, lai nodrošinātu pareizu savienojamību [5].
Klienta IP adreses saglabāšanas un drošības grupas
- Dažiem parametru veidiem (lietojumprogrammu slodzes līdzsvarotāji, tīkla slodzes līdzsvarotāji ar drošības grupām un EC2 gadījumi) globālais akselerators var saglabāt sākotnējo klienta IP adresi. Lai to atbalstītu, tiek izmantots Globālā akseleratora radītais ENIS, un drošības grupām attiecīgi jāatstāj satiksme [5] [6].
- Drošības grupas jūsu parametros attiecas uz visām jūsu gadījumiem, kas ierodas jūsu gadījumos, ieskaitot trafiku, ko pārsūtījis globālais akselerators. Tāpēc jums ir jāpārliecinās, ka jūsu drošības grupas atļauj trafiku no globālā paātrinātāja ENIS vai ar to saistītajiem IP diapazoniem [5].
Labākā prakse
- Manuāli nemainiet drošības grupu, ko izveidojis globālais akselerators. Tā vietā konfigurējiet savas parametru drošības grupas, lai ļautu trafikai no globālās paātrinātāja drošības grupas kā avota.
- Ja vēlaties ierobežot trafiku, izmantojiet privātus apakštīklus saviem parametriem tikai caur globālo paātrinātāju, uzlabojot drošību.
- Pārliecinieties, ka jūsu VPC ir pietiekama IP adreses ietilpība apakštīklos, lai pielāgotos ENIS, ko izveidos globālais akselerators.
- Ja vēlaties ierobežot piekļuvi saviem parametriem, stingri izmantojot globālo paātrinātāju, attiecīgi konfigurējiet savas parametru drošības grupas, ļaujot kā avotam tikai globālā paātrinātāja drošības grupai [2] [3] [8].
Rezumējot, globālais akselerators pārvalda IP adreses, izmantojot elastīgās tīkla saskarnes jūsu VPC, katra saistīta ar globālu paātrinātāju izveidotu drošības grupu katrā VPC. Šī drošības grupa tiek izmantota, lai kontrolētu trafika plūsmu uz jūsu parametriem, un jums jākonfigurē savas parametru drošības grupas, lai ļautu trafikai no šīs grupas, lai nodrošinātu drošu un uzticamu klienta pieprasījumu maršrutēšanu, izmantojot globālo paātrinātāju. Globālās akseleratora drošības grupas modificēšana tiek atturēta no galapunkta veselības problēmām. Tā vietā izmantojiet to kā avotu savās drošības grupās, lai ierobežotu piekļuvi tikai globālajai paātrinātāja trafikai.
Atsauces:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-pracices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-decuritygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
,
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/