AWS Global Accelerator взаємодіє з групами безпеки насамперед через інтерфейси еластичної мережі (ENIS), який він створює у вашому VPC для управління IP -адресами та маршрутизації трафіку до ваших кінцевих точок. Ось детальне пояснення того, як групи безпеки працюють з Global Accelerator:
Еластичні мережеві інтерфейси та групи безпеки
- Global Accelerator створює один еластичний мережевий інтерфейс на підмережу, де у вас зареєстровано кінцеві точки. Ці ENIS - це логічні інтерфейси, які обробляють маршрутизацію руху, але не представляють жодного хоста або вузького місця; Вони є частиною горизонтально масштабованої, високодоступної сервісу [2] [5].
- Усі Enis, створені глобальним акселератором в межах одного VPC, поділяють єдину групу безпеки, яку глобальний акселератор автоматично створює для цього VPC. Це означає незалежно від того, з якою підмережею пов'язаний ENI, він використовує ту саму групу безпеки [2].
- Група безпеки, створена глобальним акселератором, контролює трафік, який може надходити до кінцевих точок за акселератором. Ви не повинні змінювати правила цієї групи безпеки, оскільки зміни можуть спричинити проблеми зі здоров’ям кінцевих точок. Якщо вам потрібно налаштувати доступ, рекомендується зв’язатися з підтримкою AWS [2].
Використання груп безпеки з кінцевими точками
- Ви можете використовувати Глобальну групу безпеки акселераторів як групу джерел у власних групах безпеки для ваших кінцевих точок (наприклад, екземпляри EC2, балансири завантаження мережі, балансири навантаження на додаток). Це дозволяє обмежувати доступ, щоб дозволений лише трафік, що надходить через глобальний прискорювач, ефективно блокує прямий доступ до кінцевих точок з інших джерел [2] [8].
- Наприклад, якщо ви хочете, щоб балансир завантаження програми (ALB) приймав трафік лише від Global Accelerator, ви можете налаштувати групу безпеки ALB, щоб дозволити вхідний трафік лише від глобальної групи безпеки акселератора. Ця установка підвищує безпеку, гарантуючи, що весь трафік до ваших кінцевих точок переміщується через глобальний акселератор [8].
Групи управління та безпеки IP
- Global Accelerator надає статичні IP -адреси Anycast, які пов'язані з вашим акселератором. Ці IPS передаються ENIS у ваших підмережах VPC. Група безпеки, приєднана до цих ENIS, регулює трафік, який досягає ваших кінцевих точок [4] [9].
- Коли ви використовуєте глобальний акселератор з кінцевими точками в приватних підмеречках, у вас повинен бути доданий Інтернет -шлюз до VPC. Групи безпеки на ваших кінцевих точках повинні бути налаштовані, щоб дозволити вхідний трафік від глобальної групи безпеки акселератора або статичних IP -адрес, щоб забезпечити належне підключення [5].
Клієнтська IP -адреса збереження та групи безпеки
. Для підтримки цього використовуються ENIS, створений глобальним акселератором, і групи безпеки повинні відповідно дозволити трафік [5] [6].
- Групи безпеки на ваших кінцевих точках застосовуються до всього трафіку, що прибуває до ваших екземплярів, включаючи трафік, що передається глобальним акселератором. Тому вам потрібно переконатися, що ваші групи безпеки дозволяють трафік від глобального прискорювача ENIS або пов'язаних з ними діапазонів IP [5].
Найкращі практики
- Не вручну змінюйте групу безпеки, створену Global Accelerator. Натомість налаштуйте свої групи безпеки кінцевої точки, щоб дозволити трафік від глобальної групи безпеки акселераторів як джерела.
- Використовуйте приватні підмережі для своїх кінцевих точок, якщо ви хочете обмежити трафік, щоб пройти лише через глобальний акселератор, підвищуючи безпеку.
- Переконайтесь, що ваш VPC має достатню ємність IP -адреси в підмережі для розміщення ENIS, який створить глобальний прискорювач.
- Якщо ви хочете обмежити доступ до своїх кінцевих точок суворо через глобальний прискорювач, налаштуйте відповідно групи безпеки кінцевих точок, дозволяючи лише глобальній групі безпеки прискорювачів як джерело [2] [3] [8].
Підводячи підсумок, Global Accelerator управляє IP-адресами через еластичні мережеві інтерфейси у вашому VPC, кожен з яких пов'язаний з глобальною групою безпеки, створеною прискорювачем на VPC. Ця група безпеки використовується для контролю потоку трафіку до ваших кінцевих точок, і ви повинні налаштувати свої групи безпеки кінцевої точки, щоб дозволити трафік цієї групи, щоб забезпечити безпечну та надійну маршрутизацію запитів клієнта через глобальний прискорювач. Модифікація глобальної групи безпеки прискорювачів не відмовляється, щоб уникнути проблем зі здоров’ям кінцевих точок. Натомість використовуйте його як джерело у власних групах безпеки, щоб обмежити доступ лише до глобального трафіку акселератора.
Цитати:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ipaddress.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20accelerator%20user%20guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/