AWS Global Accelerator โต้ตอบกับกลุ่มความปลอดภัยเป็นหลักผ่านอินเตอร์เฟสเครือข่ายยืดหยุ่น (ENIS) ที่สร้างขึ้นใน VPC ของคุณสำหรับการจัดการที่อยู่ IP และการกำหนดเส้นทางการรับส่งข้อมูลไปยังจุดสิ้นสุดของคุณ นี่คือคำอธิบายโดยละเอียดเกี่ยวกับวิธีการทำงานของกลุ่มความปลอดภัยกับตัวเร่งความเร็วทั่วโลก:
อินเทอร์เฟซเครือข่ายยืดหยุ่นและกลุ่มความปลอดภัย
- Global Accelerator creates one elastic network interface per subnet where you have endpoints registered. ENIs เหล่านี้เป็นอินเทอร์เฟซแบบลอจิคัลที่จัดการกับการกำหนดเส้นทางการจราจร แต่ไม่ได้เป็นตัวแทนโฮสต์หรือคอขวดเดียว พวกเขาเป็นส่วนหนึ่งของบริการที่ปรับขนาดในแนวนอนและมีอยู่ในแนวนอน [2] [5]
- ENIs ทั้งหมดที่สร้างขึ้นโดย Global Accelerator ภายใน VPC เดียวกันแบ่งปันกลุ่มความปลอดภัยเดียวที่ Global Accelerator สร้างขึ้นโดยอัตโนมัติสำหรับ VPC นั้น ซึ่งหมายความว่าโดยไม่คำนึงถึงเครือข่ายย่อยที่เกี่ยวข้องกับ ENI จะใช้กลุ่มความปลอดภัยเดียวกัน [2]
- กลุ่มความปลอดภัยที่สร้างขึ้นโดย Global Accelerator จะควบคุมการรับส่งข้อมูลที่สามารถไหลไปยังจุดสิ้นสุดที่อยู่ด้านหลังตัวเร่งความเร็ว คุณไม่ควรแก้ไขกฎของกลุ่มความปลอดภัยนี้เนื่องจากการเปลี่ยนแปลงอาจทำให้เกิดปัญหาสุขภาพของจุดสิ้นสุด หากคุณต้องการปรับการเข้าถึงขอแนะนำให้ติดต่อฝ่ายสนับสนุน AWS [2]
ใช้กลุ่มความปลอดภัยที่มีจุดสิ้นสุด
- คุณสามารถใช้กลุ่มความปลอดภัย Global Accelerator เป็นกลุ่มแหล่งที่มาในกลุ่มความปลอดภัยของคุณเองสำหรับจุดสิ้นสุดของคุณ (เช่นอินสแตนซ์ EC2, เครือข่ายโหลดบาลานซ์, แอปพลิเคชันโหลดบาลานซ์) สิ่งนี้ช่วยให้คุณสามารถ จำกัด การเข้าถึงเพื่อให้มีการรับส่งข้อมูลที่ผ่านการเร่งความเร็วทั่วโลกเพียงอย่างมีประสิทธิภาพบล็อกการเข้าถึงจุดสิ้นสุดโดยตรงจากแหล่งข้อมูลอื่น ๆ [2] [8]
- ตัวอย่างเช่นหากคุณต้องการให้แอปพลิเคชัน Load Balancer (ALB) ยอมรับการรับส่งข้อมูลจากตัวเร่งความเร็วทั่วโลกเท่านั้นคุณสามารถกำหนดค่ากลุ่มความปลอดภัยของ ALB เพื่ออนุญาตการรับส่งข้อมูลขาเข้าจากกลุ่มความปลอดภัย Global Accelerator การตั้งค่านี้ช่วยเพิ่มความปลอดภัยโดยมั่นใจว่าการรับส่งข้อมูลทั้งหมดไปยังจุดสิ้นสุดของคุณจะถูกส่งผ่านตัวเร่งความเร็วทั่วโลก [8]
การจัดการที่อยู่ IP และกลุ่มความปลอดภัย
- Global Accelerator ให้ที่อยู่ IP แบบคงที่ที่เชื่อมโยงกับตัวเร่งความเร็วของคุณ IPs เหล่านี้ถูกนำหน้าโดย ENIs ในซับเน็ต VPC ของคุณ กลุ่มความปลอดภัยที่แนบมากับ Enis เหล่านี้ควบคุมการรับส่งข้อมูลที่มาถึงจุดสิ้นสุดของคุณ [4] [9]
- เมื่อคุณใช้เครื่องเร่งความเร็วทั่วโลกพร้อมจุดสิ้นสุดในเครือข่ายย่อยส่วนตัวคุณต้องมีเกตเวย์อินเทอร์เน็ตที่แนบมากับ VPC The security groups on your endpoints must be configured to allow inbound traffic from the Global Accelerator security group or the static IP addresses to ensure proper connectivity[5].
การเก็บรักษาที่อยู่ IP ของไคลเอนต์และกลุ่มความปลอดภัย
- สำหรับประเภทจุดสิ้นสุดบางประเภท (แอปพลิเคชันโหลดบาลานซ์โหลดบาลานซ์เครือข่ายที่มีกลุ่มรักษาความปลอดภัยและอินสแตนซ์ EC2) ตัวเร่งความเร็วทั่วโลกสามารถรักษาที่อยู่ IP ของไคลเอนต์ดั้งเดิมได้ เพื่อสนับสนุนสิ่งนี้ ENIs ที่สร้างขึ้นโดย Global Accelerator จะถูกนำมาใช้และกลุ่มความปลอดภัยจะต้องอนุญาตให้มีการรับส่งข้อมูลตาม [5] [6]
- กลุ่มความปลอดภัยในจุดสิ้นสุดของคุณใช้กับการรับส่งข้อมูลทั้งหมดที่มาถึงอินสแตนซ์ของคุณรวมถึงการรับส่งข้อมูลที่ส่งต่อโดย Global Accelerator ดังนั้นคุณต้องตรวจสอบให้แน่ใจว่ากลุ่มความปลอดภัยของคุณอนุญาตให้มีการรับส่งข้อมูลจากตัวเร่งความเร็วทั่วโลกหรือช่วง IP ที่เกี่ยวข้อง [5]
แนวปฏิบัติที่ดีที่สุด
- อย่าแก้ไขกลุ่มความปลอดภัยที่สร้างขึ้นโดย Global Accelerator ด้วยตนเอง ให้กำหนดค่ากลุ่มความปลอดภัยปลายทางของคุณเพื่ออนุญาตการรับส่งข้อมูลจากกลุ่มรักษาความปลอดภัยเครื่องเร่งความเร็วทั่วโลกเป็นแหล่งที่มา
- ใช้เครือข่ายย่อยส่วนตัวสำหรับจุดสิ้นสุดของคุณหากคุณต้องการ จำกัด การรับส่งข้อมูลให้ผ่านการเร่งความเร็วทั่วโลกเท่านั้นเพิ่มความปลอดภัย
- ตรวจสอบให้แน่ใจว่า VPC ของคุณมีความสามารถที่อยู่ IP ที่เพียงพอในเครือข่ายย่อยเพื่อรองรับ ENIS ที่ Global Accelerator จะสร้างขึ้น
- หากคุณต้องการ จำกัด การเข้าถึงจุดสิ้นสุดของคุณอย่างเคร่งครัดผ่านตัวเร่งความเร็วทั่วโลกกำหนดค่ากลุ่มความปลอดภัยปลายทางของคุณตามที่อนุญาตให้กลุ่มความปลอดภัยเร่งความเร็วทั่วโลกเป็นแหล่งที่มา [2] [3] [8]
โดยสรุป Global Accelerator จัดการที่อยู่ IP ผ่านอินเทอร์เฟซเครือข่ายยืดหยุ่นใน VPC ของคุณแต่ละอันเชื่อมโยงกับกลุ่มความปลอดภัยที่สร้างขึ้นด้วยตัวเร่งความเร็วทั่วโลกต่อ VPC กลุ่มความปลอดภัยนี้ใช้เพื่อควบคุมการไหลของปริมาณการใช้งานไปยังจุดสิ้นสุดของคุณและคุณควรกำหนดค่ากลุ่มความปลอดภัยปลายทางของคุณเพื่อให้การรับส่งข้อมูลจากกลุ่มนี้เพื่อให้แน่ใจว่าการกำหนดเส้นทางที่ปลอดภัยและเชื่อถือได้ของคำขอไคลเอนต์ผ่านตัวเร่งความเร็วทั่วโลก การปรับเปลี่ยนกลุ่มความปลอดภัยของตัวเร่งความเร็วทั่วโลกนั้นไม่สนับสนุนให้หลีกเลี่ยงปัญหาสุขภาพของจุดสิ้นสุด ให้ใช้เป็นแหล่งข้อมูลในกลุ่มความปลอดภัยของคุณเองเพื่อ จำกัด การเข้าถึงการรับส่งข้อมูลตัวเร่งความเร็วทั่วโลกเท่านั้น
การอ้างอิง:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20Accelerator%20user%20Guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/