Рубрики
Uncategorized

AWS PrivateLink для более безопасных и экономически эффективных межобусервисных коммуникаций

В этой статье я объясню, как использовать AWS PrivateLink для обеспечения безопасности и более экономически эффективных AWS … Теги от AWS, DEVOPS, PrivateLink.

В этой статье я объясню, как использовать AWS PrivateLink для обеспечения безопасного и более экономически эффективного AWS Intervery Communication. AWS PrivateLink — широко обсуждаемый район в облаке AWS и, но я решил написать свой последний опыт с AWS PrivateLink.

AWS PrivateLink.

AWS PrivateLink был запущен в 2019 году, чтобы позволить пользователям надежно получить доступ к услугам AWS, не подвергая их трафику в общественный интернет.

AWS PrivateLink. Это очень доступная, масштабируемая технология, которая позволяет вам в частном порядке подключить вашу VPC для поддержания услуг AWS, услуги, размещенные другими учетными записями AWS (WPC Endpoint Services), и поддерживают партнерские услуги AWS Marketplace.

Пожалуйста, найдите AWS PrivateLink Wherepaper из здесь Отказ

На следующем рисунке описывается использование привателинка.

Согласно вышеуказанному рисунку, диаграмма на левом шоу ECS вытягивает изображения из ECR, используя общедоступный Интернет, даже если они находятся в одной учетной записи AWS. AWS PrivateLink, с другой стороны, поддерживает связь с ECS и ECR в сети AWS, что делает его более безопасным и экономичным.

AWS PrivateLink поддерживает как и тот же регион, так и кросс-регион. Однако для скрещивания привателинка для работы вам может потребоваться использовать межрегиональный VPC. В этой статье я буду обсуждать только использование привателинка в том же регионе. Более подробную информацию о кросс-регионе привателинка могут быть найдены здесь Отказ

Конечные точки VPC

Endpoint VPC позволяет пользователям AWS подключится к услугам AWS и Services и VPC Endpoint Services безопасно (услуги, размещенные клиентами AWS, и партнерами, известны как WPC Endpoint Services). AWS PrivateLink используется для питания конечных точек VPC. AWS PrivateLink использует частные IP-адреса для связи с внутренними услугами AWS. Конечные точки VPC классифицируются на три категории: (1) Конечные точки интерфейса , (2) Конечные точки балансировщика нагрузки шлюза и (3) Конечные точки шлюза Отказ

Конечные точки интерфейса

AWS PrivateLink соединяет услуги, предоставляемые AWS, используя конечные точки интерфейса (интерфейс VPC конечных точек). AWS использует балансировщики сетевых нагрузок (NLB) для соединения конечных точек интерфейса к услугам AWS в фоновом режиме при использовании AWS PrivateLink.

Конечные точки интерфейса могут быть использованы для подключения Услуги AWS Управляемых Услуги Услуги AWS AWS и Услуги конечной точки Отказ

Конечные точки балансировщика нагрузки шлюза (конечные точки GWLB)

Конечные точки GWLB в основном используются для перехвата сетевого трафика для проверки безопасности. Только услуги, которые настраиваются для использования балансировщиков нагрузки шлюза, поддерживаются конечными точками GWLB.

Конечные точки шлюза

Эти типы конечных точек используются в качестве мишени таблицы маршрута для трафика, создаваемого в поддерживаемые услуги AWS. На момент написания этой статьи только Amazon S3 и Dynamodb поддерживаются для использования конечных точек шлюза.

Различия между конечными точками GWLB и конечными точками шлюза могут быть найдены здесь Отказ

Обратите внимание, что не все услуги AWS поддерживаются PrivateLink, и я пробудую только в нескольких, которые могут использовать PrivateLink для обеспечения безопасности и экономическими средствами связи с другими услугами. Пожалуйста, найдите Это Ссылка, которая будет полезна при нахождении услуг, которые совместимы с PrivateLink.

Конечная точка для ECR.

Amazon ECR — это полностью управляемый реестр контейнеров, который работает с EKS, ECS и LAMBDA. Пожалуйста, найдите следующие шаги, чтобы создать PrivateLink для службы ECR. Не настроив привателинка для ECR, вы потянули изображения из ECR в EKS/ECS или Lambda через общественный интернет, покинув сеть AWS. Это приходит в качестве дополнительной стоимости, если вы используете Gateway Nat, чтобы общаться с публичным Интернетом.

Для указанных услуг вытягивает изображения в ECR в частном порядке, нам может потребоваться создать две конечные точки.

  1. Конечная точка интерфейса для ECR Docker
  2. Конечная точка шлюза для Amazon S3

Давайте начнем!

Перейдите к службе VPC в консоли AWS и создайте конечную точку, используя кнопку «Создать конечную точку».

Оставьте категорию обслуживания в качестве по умолчанию «AWS Services» и поиск «ECR» по имени службы. Выберите интерфейс com.amazonaws. [Регион] .ecr.dkr Отказ (Выберите регион, на которой вы работаете в настоящее время)

Выберите нужные VPC и подсети, где проживают ваши экземпляры. Оставьте Включить имя DNS Как отметил.

Создайте новую выделенную группу безопасности и позволить всем входящим трафик HTTPS из порта 443. Это позволит входит трафик из подсетей выбранного VPC.

Поиск и выберите вновь созданную группу безопасности при сохранении политики по умолчанию. Создайте новый тег с ключом, как Имя и ценность как Ecr_endpoint Или что-то вы предпочитаете и сохраните конечную точку.

Первоначально конечная точка будет в ожидании.

Статус должен изменить на доступны Через несколько минут, если все идет хорошо.

Конечная точка для S3.

Как упоминалось ранее, для ECR для работы в частном порядке, нам может потребоваться создать конечную точку шлюза для Amazon S3, поскольку ECR использует S3 для хранения изображений Docker в виде слоев под капотом.

Так же, как раньше. Создайте новую конечную точку и поиск com.amazonaws. [регион] .s3 Отказ (Выберите регион, на которой вы сейчас работаете).

Выберите VPC, где проживают ваши экземпляры и выберите подходящий таблица маршрута, прикрепленный к VPC. Оставьте остальные как по умолчанию и сохраните конечную точку.

Вуаля! Обе конечные точки должны быть в Доступно состояние через некоторое время. Это должно сделать это для ECR. Если все прошло хорошо, вы должны испытать внезапное изменение в Metrics Nat Dateways (в Cloudwatch). Кроме того, в AWS Cost Explorer, заметите изменение затрат на EC2-другое ($) (Изменение затрат может занять некоторое время, поэтому обратите внимание на изменение затрат через несколько дней/недель).

Есть несколько других услуг, которые могут помочь снизить стоимость и повысить безопасность AWS.

Конечная точка для журналов CloudWatch

При добавлении журналов в облачный час по таким услугам, как ECS/EKS и LAMBDA, отправляются на облачный компьютер через публичный интернет. Это увеличивает как риск безопасности для конфиденциальных данных, так и на NAT Gateway.

Чтобы избежать вышеизложенного, давайте создадим интерфейсный шлюз для журналов CloudWatch.

Перейти к Конечные точки и создать новую конечную точку интерфейса, используя com.amazonaws. [Регион] .Logs Выберите регион, над которой вы работаете.

Выберите нужные VPC и подсети, где проживают ваши экземпляры.

Создайте группу безопасности, как и раньше, позволяя трафику HTTPS через порт 443 и сохранить конечную точку. Теперь ваши журналы должны быть добавлены в CloudWatch с использованием внутренней сети AWS.

Конечная точка для SSM.

Есть еще один сервис, который я хотел бы выделить, и это AWS SSM. Это может быть полезно, если у вас есть экземпляр EC2 без доступа к публичному интернету. Например, создавая Конечная точка интерфейса Для SSM ваш экземпляр может надежно получить параметры доступа в Магазин параметров без доступа в интернет.

Давайте создадим новую конечную точку VPC, используя com.amazonaws. [Регион] .ssm услуга. Регион должен быть такой же, как ваш текущий выбранный регион в консоли AWS.

Как и прежде, создайте новую группу безопасности для SSM PrivateLink с разрешением HTTPS доступа через порт 443. Держите остальные так же, как и раньше и сохраните конечную точку.

Наконец, у вас должны быть четыре конечных точка VPC в Доступно Состояние, способствующее безопасному межслушамому общению к вашим ресурсам.

AWS PrivateLink с перекрестным счетом

Вам может быть интересно, как использовать AWS PrivateLink, когда у вас есть несколько учетных записей AWS для различных сред, и могут быть ресурсы, которые обычно используются другими учетными записями. Например, все ваши изображения ECR могут быть в одной учетной записи (скажем, Master/Root Account) и, другие учетные записи, такие как постановка/добыча, используют ECR Master/учетную запись для хранения и вытягивания изображений.

В этом случае создание привателинка похоже на то же самое создание привателинка. Привателинки должны быть созданы в каждой учетной записи, которая пытается вытащить изображения. Пожалуйста, найдите диаграмму, которую я создал, которая иллюстрирует использование привателинка с Multi account.

Согласно вышеуказанной диаграмме, безопасное пересеченное доступ с PrivateLink может быть достигнута путем создания конечных точек VPC в каждой учетной записи (одинаковую область), где вы пытаетесь получить доступ к ресурсам (убедитесь, что не создавать конечные точки в корневой/главной учетной записи).

использованная литература

  1. AWS PrivateLink Whitepaper ( https://d1.awsstatic.com/whitepapers/aws-privatelink.pdf )
  2. AWS PrivateLink и VPC конечные точки ( https://docs.aws.amazon.com/vpc/latest/privatelink/endpoint-services-overview.html )
  3. Обложка Фото Кал Визуальные эффекты на Бессмысленно

Оригинал: «https://dev.to/aws-builders/aws-privatelink-for-more-secure-and-cost-effective-inter-service-communication-38hh»