本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon VPC 传输网关中的中转网关网络 ACLs
网络访问控制列表 (NACL) 提供了一层可选的安全性。
根据场景,应用网络访问控制列表 (NACL) 规则的方式会有所不同:
EC2 实例和传输网关关联的子网相同
考虑一个配置,其中 EC2 实例和传输网关关联位于同一个子网中。从实例到中转网关的流量以及从中转网关到 EC2 实例的流量都使用相同的网络 ACL。
对于从实例指向中转网关的流量,按以下方式应用 NACL 规则:
-
出站规则使用目标 IP 地址进行评估。
-
入站规则使用源 IP 地址进行评估。
对于从中转网关指向实例的流量,按以下方式应用 NACL 规则:
-
不评估出站规则。
-
不评估入站规则。
EC2 实例和传输网关关联的子网不同
考虑一种配置,其中 EC2 实例位于一个子网中,传输网关关联位于不同的子网中,并且每个子网都与不同的网络 ACL 关联。
网络 ACL 规则按以下方式应用于 EC2 实例子网:
-
出站规则使用目标 IP 地址来评估从实例指向中转网关的流量。
-
入站规则使用源 IP 地址来评估从中转网关指向实例的流量。
对于中转网关所在的子网,按以下方式应用网络 ACL 规则:
-
出站规则使用目标 IP 地址来评估从中转网关指向实例的流量。
-
出站规则不用来评估从实例指向中转网关的流量。
-
入站规则使用源 IP 地址来评估从实例指向中转网关的流量。
-
入站规则不用来评估从中转网关指向实例的流量。
最佳实践
为每个中转网关 VPC 附件使用单独的子网。对于每个子网,请使用较小的 CIDR,例如 /28,这样您就可以拥有更多的资源地址。 EC2 当您使用单独的子网时,您可以配置以下内容:
-
将与中转网关子网关联的入站和出站 NACL 保持打开状态。
-
根据您的流量,您可以应用 NACLs 于您的工作负载子网。
有关 VPC 连接工作原理的更多信息,请参阅 资源连接。