Назад | Перейти на главную страницу

Как связать балансировщик нагрузки с ACL в AWS?

Я читал это http://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html

Я читал, что ACL можно связать как с облачным интерфейсом, так и с балансировщиком нагрузки.

Я смог найти учебник по облачному фронту http://docs.aws.amazon.com/waf/latest/developerguide/tutorials-rate-based-blocking.html

Но я не могу найти никакого руководства по связыванию ACL с балансировщиком нагрузки. Я также не смог найти ни одной опции в пользовательском интерфейсе консоли AWS для того же самого.

Любая помощь.

Балансировщикам нагрузки требуются подсети для работы, вы можете настроить NACL на уровне подсети для каждой подсети, для которой предоставляется ELB. Но если вы уже используете AWS WAF перед своим ALB, зачем вам настраивать NACL на этом уровне? Если вы используете Cloudfront перед ALB, вы можете настроить группы безопасности ALB так, чтобы они были доступны только из диапазонов IP-адресов Cloudfront, используя это код aws labs

  • Ваш VPC автоматически поставляется с изменяемым сетевым ACL по умолчанию. По умолчанию он разрешает весь входящий и исходящий трафик IPv4 и, если применимо, трафик IPv6.

  • Вы можете создать собственный сетевой ACL и связать его с подсетью. По умолчанию каждый настраиваемый сетевой ACL запрещает весь входящий и исходящий трафик, пока вы не добавите правила.

  • Каждая подсеть в вашем VPC должна быть связана с сетевым ACL. Если вы явно не связываете подсеть с сетевым ACL, подсеть автоматически связывается с сетевым ACL по умолчанию.

  • Вы можете связать сетевой ACL с несколькими подсетями; однако подсеть может быть связана только с одним сетевым ACL одновременно. Когда вы связываете сетевой ACL с подсетью, предыдущая связь удаляется.

  • Сетевой ACL содержит пронумерованный список правил, которые мы оцениваем по порядку, начиная с правила с наименьшим номером, чтобы определить, разрешен ли трафик в любой подсети, связанной с сетевым ACL, или из нее. Наибольшее число, которое вы можете использовать для правила, - 32766. Мы рекомендуем вам начать с создания правил с номерами правил, кратными 100, чтобы вы могли вставлять новые правила там, где вам нужно позже.

  • Сетевой ACL имеет отдельные входящие и исходящие правила, и каждое правило может либо разрешать, либо запрещать трафик.

  • Сетевые ACL не сохраняют состояние; ответы на разрешенный входящий трафик подчиняются правилам для исходящего трафика (и наоборот).

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html

Вот вам хороший документ о том, как связать WebACL с балансировщиком нагрузки.

https://aws.amazon.com/blogs/aws/aws-web-application-firewall-waf-for-application-load-balancers/

Если вы используете CloudFormation:

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-wafregional-webaclassociation.html