Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon 安全组如何与全局加速器进行IP地址管理


安全组如何与全局加速器进行IP地址管理


AWS Global Accelerator主要通过它在VPC中创建的IP地址管理和流量路由到您的端点的弹性网络接口(ENIS)与安全组进行交互。这是对安全组如何与全球加速器合作的详细说明:

弹性网络接口和安全组

- 全局加速器会创建一个每个子网的弹性网络接口,您在其中注册了端点。这些eNIS是处理流量路由但不代表单个主机或瓶颈的逻辑接口;它们是水平缩放,高度可用的服务的一部分[2] [5]。

- 全局加速器在同一VPC中创建的所有ENIS共享一个单个安全组,全局加速器会自动为该VPC创建。这意味着不管与哪个子网相关联,它都使用相同的安全组[2]。

- 由全球加速器创建的安全组控制可以流到加速器后面的端点的流量。您不应修改此安全组的规则,因为更改可能会导致端点健康问题。如果您需要调整访问权限,建议与AWS支持联系[2]。

使用带有端点的安全组

- 您可以将全局加速器安全组用作您自己的安全组中的源组(例如,EC2实例,网络负载平衡器,应用程序负载平衡器)。这使您可以限制访问权限,以便仅允许通过全局加速器传递流量,从而有效阻止其他来源对端点的直接访问[2] [8]。

- 例如,如果您希望您的应用程序负载平衡器(ALB)仅接受全局加速器的流量,则可以配置Alb的安全组以仅允许全局加速器安全组的入站流量。此设置通过确保通过全局加速器[8]路由所有端点的流量来增强安全性。

IP地址管理和安全组

- 全局加速器提供与加速器关联的静态随机IP地址。这些IP在您的VPC子网中的ENIS面前。这些ENIS附加的安全组控制着到达端点的流量[4] [9]。

- 当您使用私人子网中的端点的全局加速器时,您必须将Internet网关附加到VPC上。端点上的安全组必须配置,以允许全局加速器安全组或静态IP地址的入站流量,以确保正确的连接[5]。

客户端IP地址保存和安全组

- 对于某些端点类型(应用程序负载平衡器,带安全组的网络负载平衡器以及EC2实例),全局加速器可以保留原始客户端IP地址。为了支持这一点,使用了全球加速器创建的ENIS,安全组必须允许相应的流量[5] [6]。

- 端点上的安全组适用于所有到达实例的流量,包括全球加速器转发的流量。因此,您需要确保您的安全组允许来自全局加速器ENIS或其相关IP范围的流量[5]。

最佳实践

- 请勿手动修改全局加速器创建的安全组。而是配置端点安全组以允许全局加速器安全组的流量作为源。

- 如果要限制流量仅通过全局加速器来增强安全性,请使用私人子网作为端点。

- 确保您的VPC在子网中具有足够的IP地址能力,以适应全球加速器将创建的ENIS。

- 如果您想严格地通过全局加速器限制对端点的访问,请通过仅允许全局加速器安全组作为源[2] [3] [8]来相应地配置端点安全组。

总而言之,全局加速器通过VPC中的弹性网络接口管理IP地址,每个网络接口都与每个VPC的全局加速器创建的安全组相关联。该安全组用于控制流量流到您的端点,您应该配置端点安全组,以允许该组的流量,以确保通过全局加速器确保客户端请求的安全可靠路由。不建议修改全球加速器安全组,以避免终点健康问题。而是将其用作您自己的安全组中的来源,以限制对全局加速器流量的访问。

引用:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-endpoint-access-by-securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20accelerator%20user%20Guide-pdf.pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtt-w8_ug0vcbug/global-accelerator-with-alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/