Steuern Sie den Verkehr in VPC Lattice mithilfe von Sicherheitsgruppen - VPCAmazon-Gitter
Liste der verwalteten PräfixeSicherheitsgruppenregelnVerwalten von Sicherheitsgruppen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern Sie den Verkehr in VPC Lattice mithilfe von Sicherheitsgruppen

AWS Sicherheitsgruppen agieren als virtuelle Firewalls und kontrollieren den Netzwerkverkehr zu und von den Entitäten, denen sie zugeordnet sind. Mit VPC Lattice können Sie Sicherheitsgruppen erstellen und sie der VPC Assoziation zuweisen, die eine Verbindung zu einem Servicenetzwerk herstellt, VPC um zusätzliche Sicherheitsvorkehrungen auf Netzwerkebene für Ihr Servicenetzwerk durchzusetzen. Wenn Sie über einen Endpunkt eine Verbindung VPC zu einem Servicenetzwerk herstellen, können Sie dem VPC Endpunkt auch Sicherheitsgruppen zuweisen. VPC In ähnlicher Weise können Sie Ressourcen-Gateways Sicherheitsgruppen zuweisen, die Sie erstellen, um den Zugriff auf Ressourcen in Ihrem VPC zu ermöglichen.

Liste der verwalteten Präfixe

VPCLattice stellt verwaltete Präfixlisten bereit, die die IP-Adressen enthalten, die für die Weiterleitung des Datenverkehrs über das VPC Lattice-Netzwerk verwendet werden, wenn Sie eine Dienstnetzwerkverbindung verwenden, um Ihre Verbindung über eine Zuordnung mit einem Servicenetzwerk VPC zu verbinden. VPC Sie können in Ihren Sicherheitsgruppenregeln auf die von VPC Lattice verwalteten Präfixlisten verweisen. Dadurch kann der Datenverkehr von den Clients über das VPC Lattice-Dienstnetzwerk zu den VPC Lattice-Dienstzielen fließen.

Nehmen wir beispielsweise an, Sie haben eine EC2 Instance als Ziel in der Region USA West (Oregon) registriert (us-west-2). Sie können der Instanz-Sicherheitsgruppe eine Regel hinzufügen, die eingehenden HTTPS Zugriff aus der Liste der verwalteten VPC Lattice-Präfixe ermöglicht, sodass der VPC Lattice-Verkehr in dieser Region die Instance erreichen kann. Wenn Sie alle anderen Regeln für eingehenden Datenverkehr aus der Sicherheitsgruppe entfernen, können Sie verhindern, dass jeder andere Datenverkehr als VPC Lattice-Verkehr die Instance erreicht.

Die Namen der verwalteten Präfixlisten für VPC Lattice lauten wie folgt:

  • com.amazonaws. region.vpc-Gitter

  • com.amazonaws. region.ipv6.vpc-Gitter

Weitere Informationen finden Sie unter AWS-verwaltete Präfixlisten im VPCAmazon-Benutzerhandbuch.

Windows-Clients

Bei den Adressen in den VPC Lattice-Präfixlisten handelt es sich um verknüpfungslokale Adressen und nicht routbare öffentliche Adressen. Wenn Sie von einem Windows-Client aus eine Verbindung zu VPC Lattice herstellen, müssen Sie die Konfiguration des Windows-Clients aktualisieren, sodass er die von VPC Lattice verwendeten Link-Local-Adressen an die primäre IP-Adresse des Clients weiterleitet. Im Folgenden finden Sie einen Beispielbefehl, der die Konfiguration des Windows-Clients aktualisiert, wobei 169.254.171.0 ist die von Lattice verwendete Link-Local-Adresse. VPC

C:\> route add 169.254.171.0 mask 255.255.255.0 primary-ip-address

Sicherheitsgruppenregeln

Die Verwendung von VPC Lattice mit oder ohne Sicherheitsgruppen hat keine Auswirkungen auf Ihre bestehende VPC Sicherheitsgruppenkonfiguration. Sie können jedoch jederzeit Ihre eigenen Sicherheitsgruppen hinzufügen.

Die wichtigsten Überlegungen

  • Sicherheitsgruppenregeln für Clients steuern den ausgehenden Datenverkehr zu VPC Lattice.

  • Sicherheitsgruppenregeln für Ziele steuern den eingehenden Verkehr von VPC Lattice zu den Zielen, einschließlich des Datenverkehrs zur Integritätsprüfung.

  • Sicherheitsgruppenregeln für die Verbindung zwischen dem Dienstnetzwerk und VPC kontrollieren, welche Clients auf das VPC Lattice-Dienstnetzwerk zugreifen können.

  • Sicherheitsgruppenregeln für das Ressourcengateway steuern den ausgehenden Verkehr vom Ressourcengateway zu den Ressourcen.

Empfohlene Regeln für ausgehenden Datenverkehr, der vom Ressourcen-Gateway zu einer Datenbankressource fließt

Damit der Datenverkehr vom Ressourcen-Gateway zu den Ressourcen fließen kann, müssen Sie ausgehende Regeln für die offenen Ports und akzeptierte Listener-Protokolle für die Ressourcen erstellen.

Bestimmungsort Protocol (Protokoll) Port-Bereich Kommentar
CIDR range for resource TCP 3306 Lassen Sie den Datenverkehr vom Ressourcen-Gateway zu den Datenbanken zu
Empfohlene Regeln für eingehenden Datenverkehr für Dienstnetzwerke und Verbindungen VPC

Damit der Datenverkehr vom Client VPCs zu den Diensten fließen kann, die dem Dienstnetzwerk zugeordnet sind, müssen Sie Regeln für eingehenden Datenverkehr für die Listener-Ports und Listener-Protokolle für die Dienste erstellen.

Quelle Protocol (Protokoll) Port-Bereich Kommentar
VPC CIDR listener listener Lassen Sie den Datenverkehr von den Clients zu Lattice zu VPC
Empfohlene Regeln für ausgehenden Datenverkehr von Client-Instances zu Lattice VPC

Standardmäßig gestatten Sicherheitsgruppen allen ausgehenden Datenverkehr. Wenn Sie jedoch über benutzerdefinierte Regeln für ausgehenden Datenverkehr verfügen, müssen Sie ausgehenden Datenverkehr zum VPC Lattice-Präfix für Listener-Ports und -Protokolle zulassen, damit Client-Instances eine Verbindung zu allen Diensten herstellen können, die dem Lattice-Dienstnetzwerk zugeordnet sind. VPC Sie können diesen Verkehr zulassen, indem Sie auf die ID der Präfixliste für Lattice verweisen. VPC

Bestimmungsort Protocol (Protokoll) Port-Bereich Kommentar
ID of the VPC Lattice prefix list listener listener Lassen Sie Datenverkehr von Clients zu Lattice zu VPC
Empfohlene Regeln für eingehenden Datenverkehr von VPC Lattice zu Ziel-Instances

Sie können die Client-Sicherheitsgruppe nicht als Quelle für die Sicherheitsgruppen Ihres Ziels verwenden, da der Datenverkehr von VPC Lattice fließt. Sie können auf die ID der Präfixliste für VPC Lattice verweisen.

Quelle Protocol (Protokoll) Port-Bereich Kommentar
ID of the VPC Lattice prefix list target target Verkehr von VPC Lattice zu Zielen zulassen
ID of the VPC Lattice prefix list health check health check Lassen Sie den Health Check-Verkehr von VPC Lattice zu Zielen zu

Sicherheitsgruppen für eine VPC Assoziation verwalten

Sie können die verwenden, AWS CLI um Sicherheitsgruppen in der Service-Netzwerkverbindung anzuzeigen, hinzuzufügen oder VPC zu aktualisieren. Denken Sie bei der Verwendung von daran AWS CLI, dass Ihre Befehle in der für Ihr Profil AWS-Region konfigurierten Version ausgeführt werden. Wenn Sie die Befehle in einer anderen Region ausführen möchten, ändern Sie entweder die Standardregion für Ihr Profil, oder verwenden Sie den --region-Parameter mit dem Befehl.

Bevor Sie beginnen, vergewissern Sie sich, dass Sie die Sicherheitsgruppe in derselben VPC Gruppe erstellt haben, die VPC Sie dem Dienstnetzwerk hinzufügen möchten. Weitere Informationen finden Sie unter Steuern des Datenverkehrs zu Ihren Ressourcen mithilfe von Sicherheitsgruppen im VPCAmazon-Benutzerhandbuch

So fügen Sie beim Erstellen einer VPC Zuordnung mithilfe der Konsole eine Sicherheitsgruppe hinzu

  1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich unter VPCLattice die Option Service Networks aus.

  3. Wählen Sie den Namen des Servicenetzwerks aus, um die zugehörige Detailseite zu öffnen.

  4. Wählen Sie auf der Registerkarte VPCVerknüpfungen die Option VPCVerknüpfungen erstellen und dann VPCZuordnung hinzufügen aus.

  5. Wählen Sie eine VPC und bis zu fünf Sicherheitsgruppen aus.

  6. Wählen Sie Änderungen speichern.

Um Sicherheitsgruppen für eine bestehende VPC Zuordnung mithilfe der Konsole hinzuzufügen oder zu aktualisieren

  1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich unter VPCLattice die Option Service Networks aus.

  3. Wählen Sie den Namen des Servicenetzwerks aus, um die zugehörige Detailseite zu öffnen.

  4. Aktivieren Sie auf der Registerkarte VPCZuordnungen das Kontrollkästchen für die Zuordnung und wählen Sie dann Aktionen, Sicherheitsgruppen bearbeiten aus.

  5. Fügen Sie nach Bedarf Sicherheitsgruppen hinzu und entfernen Sie sie.

  6. Wählen Sie Änderungen speichern.

Um eine Sicherheitsgruppe hinzuzufügen, wenn Sie eine VPC Zuordnung mit dem AWS CLI

Verwenden Sie den Befehl create-service-network-vpc-association und geben Sie die ID der VPC für die VPC Zuordnung und die ID der hinzuzufügenden Sicherheitsgruppen an.

aws vpc-lattice create-service-network-vpc-association \
    --service-network-identifier sn-0123456789abcdef0 \
    --vpc-identifier vpc-1a2b3c4d \
    --security-group-ids sg-7c2270198example

Bei erfolgreicher Ausführung gibt der Befehl eine Ausgabe zurück, die in etwa wie folgt aussieht:

{
  "arn": "arn",
  "createdBy": "464296918874",
  "id": "snva-0123456789abcdef0",
  "status": "CREATE_IN_PROGRESS",
  "securityGroupIds": ["sg-7c2270198example"]
}
Um Sicherheitsgruppen für eine bestehende VPC Assoziation hinzuzufügen oder zu aktualisieren, verwenden Sie AWS CLI

Verwenden Sie den Befehl update-service-network-vpc-association und geben Sie die ID des Dienstnetzwerks und IDs der Sicherheitsgruppen an. Diese Sicherheitsgruppen haben Vorrang vor allen zuvor verknüpften Sicherheitsgruppen. Definieren Sie mindestens eine Sicherheitsgruppe, wenn Sie die Liste aktualisieren.

aws vpc-lattice update-service-network-vpc-association 
    --service-network-vpc-association-identifier sn-903004f88example \
    --security-group-ids sg-7c2270198example sg-903004f88example
Warnung

Sie können nicht alle Sicherheitsgruppen entfernen. Stattdessen müssen Sie zuerst die VPC Zuordnung löschen und dann die VPC Zuordnung ohne Sicherheitsgruppen neu erstellen. Seien Sie vorsichtig, wenn Sie die VPC Zuordnung löschen. Dadurch wird verhindert, dass der Datenverkehr Dienste erreicht, die sich in diesem Dienstnetzwerk befinden.