AWS Global Accelerator suhtleb turvarühmadega peamiselt elastsete võrguliideste (ENIS) kaudu, mille see teie VPC -s loob IP -aadresside haldamiseks ja liikluse marsruutimiseks teie lõpp -punktidesse. Siin on üksikasjalik seletus selle kohta, kuidas turvarühmad töötavad globaalse kiirendiga:
Elastsed võrguliidesed ja turvarühmad
- Globaalne kiirendaja loob alamvõrgu kohta ühe elastse võrguliidese, kus teil on registreeritud lõpp -punktid. Need EN -id on loogilised liidesed, mis käsitlevad liikluse marsruutimist, kuid ei esinda ühte hosti ega kitsaskohta; Need on osa horisontaalselt skaleeritud, väga saadaolevast teenusest [2] [5].
- Kõik samas VPC -s Global Acceleratori poolt loodud ENIS -id jagavad ühte turvarühma, mille globaalne kiirendaja selle VPC jaoks automaatselt loob. See tähendab, et sõltumata sellest, millise alamvõrkuga ENI on seotud, kasutab see sama turvarühma [2].
- Global Acceleratori loodud turvarühm kontrollib liiklust, mis võib voolata gaasipedaali taga olevatesse lõpp -punktidesse. Te ei tohiks selle turvarühma reegleid muuta, kuna muudatused võivad põhjustada lõpp -punkti terviseprobleeme. Kui teil on vaja juurdepääsu reguleerida, on soovitatav pöörduda AWS -toega [2].
Turvarühmade kasutamine lõpp -punktidega
- saate oma lõpp -punktide jaoks kasutada globaalset kiirendi turvarühma lähterühmana oma turvarühmades (nt EC2 eksemplarid, võrgukoormuse tasakaalustajad, rakenduste koormuse tasakaalustajad). See võimaldab teil piirata juurdepääsu nii, et lubatakse ainult ülemaailmse kiirendi kaudu tulevat liiklust, mis blokeerib tõhusalt otsene juurdepääs lõpp -punktidele muudest allikatest [2] [8].
- Näiteks kui soovite, et teie rakenduse koormuse tasakaalustaja (ALB) aktsepteeriks liiklust ainult globaalsest kiirendist, saate konfigureerida ALB -i turvarühma, et võimaldada sissetulevat liiklust ainult globaalsest kiirendi turbegrupist. See seadistus suurendab turvalisust, tagades, et kogu teie lõpp -punktide liiklus suunatakse globaalse kiirendi kaudu [8].
IP -aadresside haldamine ja turvarühmad
- Global Accelerator pakub staatilisi Anycast IP -aadresse, mis on seotud teie gaasiga. Neid IP -sid on ENIS eesrindlik teie VPC alamvõrkudes. Nendele ENS -ile lisatud turvarühm reguleerib teie lõpp -punktideni jõudvat liiklust [4] [9].
- Kui kasutate globaalset gaasipedaali koos lõpp -punktidega privaatsetes alamvõrkudes, peab teil olema VPC -ga Interneti -lüüs. Teie lõpp -punktide turvarühmad tuleb konfigureerida, et võimaldada sissetulevat liiklust globaalsest kiirendi turvarühmast või staatilistest IP -aadressidest, et tagada nõuetekohane ühenduvus [5].
Kliendi IP -aadresside säilitamine ja turvarühmad
- Teatud lõpp -punkti tüüpide (rakenduste koormuse tasakaalustajad, turbegruppidega võrgukoormuse tasakaalustajad ja EC2 eksemplarid) saab globaalne kiirendaja säilitada algse kliendi IP -aadressi. Selle toetamiseks kasutatakse globaalse kiirendi loodud EN -e ja turvarühmad peavad vastavalt liiklusele lubama [5] [6].
- Teie lõpp -punktide turvarühmad kehtivad kogu teie juhtumitele saabuva liikluse kohta, sealhulgas Global Accelerator edastatud liiklus. Seetõttu peate tagama, et teie turvarühmad võimaldavad liiklust globaalsest kiirendi ENIS -ist või nendega seotud IP -vahemikest [5].
parimad tavad
- Ärge muutke käsitsi Global Acceleratori loodud turvarühma. Selle asemel konfigureerige oma lõpp -turvarühmad, et võimaldada liiklust globaalsest kiirendi turvarühmast allikana.
- Kui soovite liiklust piirata, kasutage oma lõpp -punktide jaoks privaatseid alamvõrke ainult globaalse kiirendi, suurendades turvalisust.
- Veenduge, et teie VPC -l oleks alamvõrkudes piisavalt IP -aadressi maht, et mahutada ENIS, mille globaalne kiirendaja loob.
- Kui soovite oma lõpp -punktidele juurdepääsu rangelt globaalse kiirendi kaudu piirata, konfigureerige oma lõpp -turvarühmad vastavalt, lubades allikana ainult globaalset kiirendi turvarühma [2] [3] [8].
Kokkuvõtlikult võib öelda, et globaalne kiirendaja haldab IP-aadresse teie VPC elastsete võrguliideste kaudu, millest igaüks on seotud globaalse kiirendi loodud turvarühmaga VPC kohta. Seda turvarühma kasutatakse teie lõpp -punktide liiklusvoo juhtimiseks ja peaksite konfigureerima oma lõpp -turvarühmad, et võimaldada sellest rühmast liiklust, et tagada kliendi taotluste turvaline ja usaldusväärne suunamine globaalse kiirendi kaudu. Ülemaailmse kiirendi turvarühma muutmine on heidutatud, et vältida lõpp -punkti terviseprobleeme. Selle asemel kasutage seda oma turvarühmades allikana, et piirata juurdepääsu ainult ülemaailmsele kiirendi liiklusele.
Tsitaadid:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
]
]
]
]
]
]
]
[10] https://tutorialsdojo.com/aws-global-ccelerator/