AWS Global Accelerator sodeluje z varnostnimi skupinami predvsem prek elastičnih omrežnih vmesnikov (ENIS), ki ga v vašem VPC ustvarja za upravljanje naslovov IP in usmerjanje prometa do vaših končnih točk. Tu je podrobna razlaga, kako varnostne skupine delujejo z globalnim pospeševalnikom:
Elastični omrežni vmesniki in varnostne skupine
- Global Accelerator ustvari en elastični omrežni vmesnik na podomrež, kjer imate registrirane končne točke. Ti Enis so logični vmesniki, ki upravljajo s prometnim usmerjanjem, vendar ne predstavljajo enega samega gostitelja ali ozkih grl; So del horizontalno spremenjene, zelo dostopne storitve [2] [5].
- Vsi ENIS, ki ga je ustvaril globalni pospeševalnik v isti VPC, si delijo eno samo varnostno skupino, ki jo globalni pospeševalnik samodejno ustvari za ta VPC. To pomeni, da ne glede na to, s katerim podomrežjem je povezan Eni, uporablja isto varnostno skupino [2].
- Varnostna skupina, ki jo je ustvaril Global Accelerator, nadzoruje promet, ki se lahko pretaka do končnih točk za pospeševalnikom. Ne smete spreminjati pravil te varnostne skupine, ker lahko spremembe povzročijo težave z zdravjem končne točke. Če morate prilagoditi dostop, je priporočljivo, da se obrnete na podporo AWS [2].
Uporaba varnostnih skupin s končnimi točkami
- Globalno varnostno skupino za pospeševanje lahko uporabite kot izvorno skupino v lastnih varnostnih skupinah za vaše končne točke (npr. EC2 primerke, uravnoteževalci obremenitve omrežja, uravnoteževalci obremenitve aplikacij). To vam omogoča, da omejite dostop, tako da je dovoljen samo promet, ki prihaja skozi globalni pospeševalnik, in učinkovito blokira neposreden dostop do končnih točk iz drugih virov [2] [8].
- Na primer, če želite, da vaš uravnoteževalec nalaganja aplikacij (ALL) sprejema promet samo iz globalnega pospeševalnika, lahko konfigurirate varnostno skupino Alb -a in tako omogočite vhodni promet samo iz Global Accelerator Security Group. Ta nastavitev izboljšuje varnost z zagotavljanjem, da je ves promet na končnih točkah usmerjen z globalnim pospeševalnikom [8].
Upravljanje naslovov IP in varnostne skupine
- Global Accelerator ponuja statične IP naslove, ki so povezani z vašim pospeševalnikom. Ti IP -ji so v podomrežjih VPC. Varnostna skupina, pritrjena na te ENIS, ureja promet, ki doseže vaše končne točke [4] [9].
- Ko uporabljate globalni pospeševalnik s končnimi točkami v zasebnih podomrežjih, morate imeti na VPC pritrjeni internetni prehod. Varnostne skupine na vaših končnih točkah morajo biti konfigurirane tako, da omogočajo vhodni promet iz globalne varnostne skupine za pospeševanje ali statičnih naslovov IP, da se zagotovi ustrezna povezljivost [5].
Skupine za ohranjanje in varnostne skupine odjemalca IP
- Za nekatere vrste končnih točk (uravnoteževalci obremenitve aplikacij, uravnoteževalci omrežja z varnostnimi skupinami in primerki EC2) lahko globalni pospeševalnik ohrani izvirni IP naslov odjemalca. Za podporo to se uporablja ENIS, ki ga je ustvaril globalni pospeševalnik, varnostne skupine pa morajo ustrezno dovoliti promet [5] [6].
- Varnostne skupine na vaših končnih točkah veljajo za ves promet, ki prihaja do vaših primerov, vključno s prometom, ki ga posreduje globalni pospeševalnik. Zato morate zagotoviti, da vaše varnostne skupine omogočajo promet iz globalnega pospeševalnika ENIS ali z njimi povezanih razponov IP [5].
Najboljše prakse
- Ne spreminjajte varnostne skupine, ki jo je ustvaril globalni pospeševalnik. Namesto tega konfigurirajte varnostne skupine končnih točk, da omogočite promet iz globalne varnostne skupine za pospeševanje kot vir.
- Uporabite zasebne podomreži za svoje končne točke, če želite omejiti promet, da pridete le z globalnim pospeševalnikom in izboljšate varnost.
- Prepričajte se, da ima vaš VPC zadostno zmogljivost IP naslova v podomrežjih, da lahko sprejme ENIS, ki ga bo ustvaril globalni pospeševalnik.
- Če želite omejiti dostop do svojih končnih točk strogo prek globalnega pospeševalnika, ustrezno konfigurirajte varnostne skupine končnih točk, tako da kot vir omogočite samo globalno varnostno skupino za pospeševanje [2] [3] [8].
Če povzamemo, Global Accelerator upravlja z naslovi IP prek elastičnih omrežnih vmesnikov v vašem VPC, pri čemer je vsak povezan z globalno varnostno skupino, ki jo je ustvarila pospeševalnik na VPC. Ta varnostna skupina se uporablja za nadzor prometnega toka do vaših končnih točk in konfigurirajte svoje varnostne skupine končne točke, da omogočite promet iz te skupine, da zagotovite varno in zanesljivo usmerjanje zahtev strank prek globalnega pospeševalnika. Spreminjanje globalne varnostne skupine za pospeševanje se odvrača, da se prepreči zdravstvena vprašanja Endpoint. Namesto tega ga uporabite kot vir v svojih varnostnih skupinah, da omejite dostop do samo globalnega prometa za pospeševanje.
Navedbe:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securityGroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20Accelerator%20user%20guide-pdf.pdf
[8] https://repost.aws/questions/Qufcukxyddt-w8_ug0vcbug/global-acecelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/