Amazon 公交网关中的中VPC转网关网络 ACLs - Amazon VPC
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 公交网关中的中VPC转网关网络 ACLs

网络访问控制列表 (NACL) 是可选的安全层。

网络访问控制列表 (NACL) 规则的应用方式不同,具体视情况而定:

EC2实例和传输网关关联的子网相同

考虑一个配置,其中EC2实例和传输网关关联位于同一个子网中。从实例到传输网关的流量以及从中转网关到EC2实例的流量都使用相同的网络ACL。

NACL对于从实例到传输网关的流量,规则如下所示:

  • 出站规则使用目标 IP 地址进行评估。

  • 入站规则使用源 IP 地址进行评估。

NACL规则适用于从传输网关到实例的流量,如下所示:

  • 不评估出站规则。

  • 不评估入站规则。

EC2实例和传输网关关联的子网不同

考虑一种配置,其中EC2实例位于一个子网中,传输网关关联位于不同的子网中,并且每个子网都与不同的网络关联ACL。

EC2实例子网的网络ACL规则如下所示:

  • 出站规则使用目标 IP 地址来评估从实例指向中转网关的流量。

  • 入站规则使用源 IP 地址来评估从中转网关指向实例的流量。

NACL中转网关子网的规则如下所示:

  • 出站规则使用目标 IP 地址来评估从中转网关指向实例的流量。

  • 出站规则不用来评估从实例指向中转网关的流量。

  • 入站规则使用源 IP 地址来评估从实例指向中转网关的流量。

  • 入站规则不用来评估从中转网关指向实例的流量。

最佳实践

为每个传输网关VPC连接使用单独的子网。对于每个子网,请使用较小的子网CIDR,例如 /28,这样您就可以拥有更多的EC2资源地址。当您使用单独的子网时,您可以配置以下内容:

  • 保持与中转网关子网关联的入站和出站NACL处于打开状态。

  • 根据您的流量,您可以应用NACLs于您的工作负载子网。

有关VPC附件工作原理的更多信息,请参阅资源连接