网络 ACL 如何与transit gateways结合使用 - Amazon Virtual Private Cloud
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

网络 ACL 如何与transit gateways结合使用

网络访问控制列表 (NACL) 提供了一层可选的安全性。

根据场景,应用网络访问控制列表 (NACL) 规则的方式会有所不同:

  • 当您的 EC2 网络接口工作负载和transit gateway关联具有相同的子网时。

  • 当您的 EC2 网络接口工作负载和transit gateway关联具有不同的子网时。

EC2 网络接口工作负载和transit gateway关联具有相同的子网

考虑以下配置:您的 EC2 网络接口工作负载和transit gateway关联具有相同的子网。将同一路由表用于出站流量和入站流量:从单个 EC2 实例到transit gateway的流量,以及通过transit gateway流入您的 VPC 的流量。

对于从单个 EC2 实例到transit gateway的流量,将通过以下方式应用 NACL 规则:

  • 出站规则使用目标 IP 地址进行评估。

  • 入站规则使用源 IP 地址进行评估。

对于从transit gateway到您的 VPC 的流量,通过以下方式应用 NACL 规则:

  • 不评估入站规则和出站规则。

EC2 网络接口工作负载和transit gateway关联具有不同的子网

考虑以下配置:您的 EC2 网络接口工作负载和transit gateway关联具有不同的子网。在此配置中,每个子网均与一个不同的 NACL 关联。

对于从单个 EC2 实例到transit gateway的流量,将通过以下方式应用 NACL 规则:

  • EC2 实例子网的出站规则使用目标 IP 地址进行评估。

  • transit gateway子网的入站规则使用源 IP 地址进行评估。

  • 不评估transit gateway子网的出站规则。

对于从transit gateway到您的 VPC 的流量,通过以下方式应用 NACL 规则:

  • transit gateway子网的出站规则使用目标 IP 地址进行评估。

  • 不评估transit gateway子网的入站规则。

  • EC2 实例子网的入站规则使用源 IP 地址进行评估。

最佳实践

为每个中转网关 VPC 附件使用单独的子网。对于每个子网,请使用小型 CIDR(例如 /28),以便您有更多地址用于 EC2 资源。当您使用单独的子网时,您可以配置以下内容:

  • 将与transit gateway子网关联的入站和出站 NACL 保持打开状态。

  • 根据流量,您可以将 NACL 应用于工作负载子网。