本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 公交网关中的中VPC转网关网络 ACLs
网络访问控制列表 (NACL) 是可选的安全层。
网络访问控制列表 (NACL) 规则的应用方式不同,具体视情况而定:
EC2实例和传输网关关联的子网相同
考虑一个配置,其中EC2实例和传输网关关联位于同一个子网中。从实例到传输网关的流量以及从中转网关到EC2实例的流量都使用相同的网络ACL。
NACL对于从实例到传输网关的流量,规则如下所示:
-
出站规则使用目标 IP 地址进行评估。
-
入站规则使用源 IP 地址进行评估。
NACL规则适用于从传输网关到实例的流量,如下所示:
-
不评估出站规则。
-
不评估入站规则。
EC2实例和传输网关关联的子网不同
考虑一种配置,其中EC2实例位于一个子网中,传输网关关联位于不同的子网中,并且每个子网都与不同的网络关联ACL。
EC2实例子网的网络ACL规则如下所示:
-
出站规则使用目标 IP 地址来评估从实例指向中转网关的流量。
-
入站规则使用源 IP 地址来评估从中转网关指向实例的流量。
NACL中转网关子网的规则如下所示:
-
出站规则使用目标 IP 地址来评估从中转网关指向实例的流量。
-
出站规则不用来评估从实例指向中转网关的流量。
-
入站规则使用源 IP 地址来评估从实例指向中转网关的流量。
-
入站规则不用来评估从中转网关指向实例的流量。
最佳实践
为每个传输网关VPC连接使用单独的子网。对于每个子网,请使用较小的子网CIDR,例如 /28,这样您就可以拥有更多的EC2资源地址。当您使用单独的子网时,您可以配置以下内容:
-
保持与中转网关子网关联的入站和出站NACL处于打开状态。
-
根据您的流量,您可以应用NACLs于您的工作负载子网。
有关VPC附件工作原理的更多信息,请参阅资源连接。