Netzwerk ACLs für Transit-Gateways in Amazon VPC Transit Gateways - Amazon VPC
Gleiches Subnetz für EC2 Instances und Transit-Gateway-ZuordnungVerschiedene Subnetze für EC2 Instances und Transit-Gateway-ZuordnungBewährte Methoden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Netzwerk ACLs für Transit-Gateways in Amazon VPC Transit Gateways

Eine Netzwerkzugriffskontrollliste (NACL) ist eine optionale Sicherheitsebene.

Die Regeln für die Netzwerkzugriffskontrollliste (NACL) werden je nach Szenario unterschiedlich angewendet:

Gleiches Subnetz für EC2 Instances und Transit-Gateway-Zuordnung

Stellen Sie sich eine Konfiguration vor, bei der Sie EC2 Instances und eine Transit-Gateway-Zuordnung im selben Subnetz haben. Das gleiche Netzwerk ACL wird sowohl für den Verkehr von den EC2 Instances zum Transit-Gateway als auch für den Verkehr vom Transit-Gateway zu den Instances verwendet.

NACLDie Regeln werden wie folgt für den Verkehr von Instances zum Transit-Gateway angewendet:

  • Ausgehende Regeln verwenden die Ziel-IP-Adresse für die Auswertung.

  • Eingehende Regeln verwenden die Quell-IP-Adresse für die Auswertung.

NACLDie Regeln werden wie folgt auf den Verkehr vom Transit-Gateway zu den Instances angewendet:

  • Ausgehende Regeln werden nicht ausgewertet.

  • Eingehende Regeln werden nicht ausgewertet.

Verschiedene Subnetze für EC2 Instances und Transit-Gateway-Zuordnung

Stellen Sie sich eine Konfiguration vor, bei der Sie EC2 Instances in einem Subnetz und eine Transit-Gateway-Zuordnung in einem anderen Subnetz haben und jedes Subnetz einem anderen Netzwerk zugeordnet ist. ACL

ACLNetzwerkregeln werden für das Instanz-Subnetz wie folgt angewendet: EC2

  • Ausgehende Regeln verwenden die Ziel-IP-Adresse, um den Datenverkehr von den Instances auf das Transit-Gateway auszuwerten.

  • Eingehende Regeln verwenden die Quell-IP-Adresse, um den Datenverkehr vom Transit-Gateway zu den Instances auszuwerten.

NACLDie Regeln werden für das Transit-Gateway-Subnetz wie folgt angewendet:

  • Ausgehende Regeln verwenden die Ziel-IP-Adresse, um den Datenverkehr vom Transit-Gateway zu den Instances auszuwerten.

  • Ausgehende Regeln werden nicht verwendet, um den Datenverkehr von den Instances zum Transit-Gateway auszuwerten.

  • Eingehende Regeln verwenden die Quell-IP-Adresse, um den Datenverkehr von den Instances auf das Transit-Gateway auszuwerten.

  • Eingehende Regeln werden nicht verwendet, um den Datenverkehr vom Transit-Gateway zu den Instances auszuwerten.

Bewährte Methoden

Verwenden Sie für jeden VPC Transit-Gateway-Anhang ein separates Subnetz. Verwenden Sie für jedes Subnetz ein kleinesCIDR, z. B. /28, damit Sie mehr Adressen für Ressourcen haben. EC2 Wenn Sie ein separates Subnetz verwenden, können Sie Folgendes konfigurieren:

  • Halten Sie die eingehenden und ausgehenden VerbindungenNACL, die den Transit-Gateway-Subnetzen zugeordnet sind, offen.

  • Abhängig von Ihrem Datenverkehrsfluss können Sie Subnetze auf Ihre NACLs Workloads anwenden.

Weitere Informationen zur Funktionsweise von VPC Anhängen finden Sie unterRessourcen-Anhänge.