Az AWS Global Accelerator elsősorban a biztonsági csoportokkal kölcsönhatásba lép, elsősorban az elasztikus hálózati interfészek (ENIS) révén, amelyet a VPC -ben hoz létre az IP -címkezeléshez és a forgalmi irányításhoz a végpontokhoz. Itt található egy részletes magyarázat arról, hogy a biztonsági csoportok hogyan működnek a globális gyorsítóval:
Elasztikus hálózati interfészek és biztonsági csoportok
- A globális gyorsító egy alhálózatonként egy elasztikus hálózati felületet hoz létre, ahol a végpontok regisztráltak. Ezek az ENI -k logikai interfészek, amelyek kezelik a forgalmi útválasztást, de nem képviselnek egyetlen gazdagépet vagy szűk keresztmetszetet; Ezek egy vízszintesen méretezett, rendkívül rendelkezésre álló szolgáltatás részét képezik [2] [5].
- Az összes ENI -k, amelyeket a Global Accelerator készített ugyanazon VPC -n belül, egyetlen biztonsági csoportot oszt meg, amelyet a Global Accelerator automatikusan létrehoz az adott VPC -hez. Ez azt jelenti, hogy függetlenül attól, hogy melyik alhálózatot társítják, ugyanazt a biztonsági csoportot használja [2].
- A Global Accelerator által létrehozott biztonsági csoport szabályozza azt a forgalmat, amely a gyorsító mögött a végpontokhoz áramlik. Nem szabad módosítania a biztonsági csoport szabályait, mivel a változások végpont -egészségügyi problémákat okozhatnak. Ha be kell állítania a hozzáférést, akkor ajánlott kapcsolatba lépni az AWS támogatással [2].
Biztonsági csoportok használata végpontokkal
- Használhatja a Global Accelerator Security Group -ot forráscsoportként a saját biztonsági csoportjaiban a végpontjaihoz (például EC2 példányok, hálózati terheléselosztók, alkalmazás -terheléselosztók). Ez lehetővé teszi a hozzáférés korlátozását, hogy csak a globális gyorsítón keresztül érkező forgalom legyen megengedett, hatékonyan blokkolja a közvetlen hozzáférést a végpontokhoz más forrásokból [2] [8].
- Például, ha azt akarja, hogy az alkalmazás -terheléselosztó (ALB) csak a globális gyorsítóból fogadja el a forgalmat, akkor konfigurálhatja az ALB biztonsági csoportját, hogy csak a Global Accelerator Security Group -tól lehetővé tegye a bejövő forgalmat. Ez a beállítás javítja a biztonságot azáltal, hogy biztosítja, hogy a végpontok minden forgalmát a globális gyorsítón keresztül irányítsák [8].
IP -címkezelési és biztonsági csoportok
- A Global Accelerator statikus Anycast IP -címeket biztosít, amelyek társítják a gyorsítóhoz. Ezeket az IP -ket a VPC alhálózataiban az ENIS elülső. Az ezekhez az ENI -khez csatolt biztonsági csoport szabályozza azt a forgalmat, amely eléri a végpontokat [4] [9].
- Ha a Global Accelerator -t végpontokkal használja a privát alhálózatokban, akkor a VPC -hez csatolnia kell egy internetes átjárót. A végpontokon lévő biztonsági csoportokat úgy kell konfigurálni, hogy lehetővé tegyék a bejövő forgalmat a globális gyorsító biztonsági csoportból vagy a statikus IP -címekből a megfelelő kapcsolat biztosítása érdekében [5].
Az ügyfél IP -cím megőrzési és biztonsági csoportjai
- Bizonyos végpont -típusokhoz (alkalmazás -terheléselosztók, biztonsági csoportokkal rendelkező hálózati terheléselosztók és EC2 példányok) a Global Accelerator megőrizheti az eredeti ügyfél IP -címét. Ennek alátámasztására a globális gyorsító által létrehozott ENIS -t használják, és a biztonsági csoportoknak ennek megfelelően engedélyezniük kell a forgalmat [5] [6].
- A végpontokon lévő biztonsági csoportok az Ön példányaira érkező összes forgalomra vonatkoznak, ideértve a Global Accelerator által továbbított forgalmat is. Ezért gondoskodnia kell arról, hogy a biztonsági csoportok lehetővé tegyék a globális gyorsító ENI -k vagy a kapcsolódó IP -tartományok forgalmát [5].
A legjobb gyakorlatok
- Ne módosítsa manuálisan a Global Accelerator által létrehozott biztonsági csoportot. Ehelyett konfigurálja a végpont biztonsági csoportjait, hogy forrásként lehetővé tegye a globális gyorsító biztonsági csoport forgalmát.
- Használjon privát alhálózatokat a végpontjaihoz, ha azt akarja, hogy korlátozza a forgalmat, hogy csak a globális gyorsítón keresztül érkezzen, javítva a biztonságot.
- Győződjön meg arról, hogy a VPC -nek elegendő IP -címe van az alhálózatokban az ENIS befogadására, amelyet a Global Accelerator létrehoz.
- Ha a globális gyorsítón keresztül szigorúan szeretné korlátozni a végpontokhoz való hozzáférést, akkor ennek megfelelően konfigurálja a végpont biztonsági csoportjait úgy, hogy csak a globális gyorsító biztonsági csoportot engedélyezi forrásként [2] [3] [8].
Összefoglalva: a Global Accelerator kezeli az IP-címeket a VPC elasztikus hálózati interfészein keresztül, mindegyik VPC-nként egy globális gyorsító által létrehozott biztonsági csoporthoz kapcsolódik. Ezt a biztonsági csoportot arra használják, hogy ellenőrizzék a végpontok közötti áramlást, és konfigurálnia kell a végpont biztonsági csoportjait, hogy lehetővé tegyék a csoport forgalmát az ügyfélkérések biztonságos és megbízható útválasztásának biztosítása érdekében a Global Accelerator segítségével. A globális gyorsító biztonsági csoport módosítása elriasztja a végpont -egészségügyi problémák elkerülése érdekében. Ehelyett forrásként használja fel a saját biztonsági csoportjaiban, hogy korlátozza a hozzáférést csak a globális gyorsítóforgalomhoz.
Idézetek:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securityGroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20accelerator%20USer%20Guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-ackelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-ackelerator/