Jaringan ACLs untuk gateway transit di Amazon VPC Transit Gateways - Amazon VPC
Subnet yang sama untuk EC2 instance dan asosiasi gateway transitSubnet berbeda untuk EC2 instance dan asosiasi gateway transitPraktik Terbaik

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jaringan ACLs untuk gateway transit di Amazon VPC Transit Gateways

Daftar kontrol akses jaringan (NACL) adalah lapisan keamanan opsional.

Aturan daftar kontrol akses jaringan (NACL) diterapkan secara berbeda, tergantung pada skenario:

Subnet yang sama untuk EC2 instance dan asosiasi gateway transit

Pertimbangkan konfigurasi di mana Anda memiliki EC2 instance dan asosiasi gateway transit di subnet yang sama. Jaringan yang sama ACL digunakan untuk lalu lintas dari EC2 instance ke gateway transit dan lalu lintas dari gateway transit ke instance.

NACLaturan diterapkan sebagai berikut untuk lalu lintas dari instance ke gateway transit:

  • Aturan keluar menggunakan alamat IP tujuan untuk evaluasi.

  • Aturan masuk menggunakan alamat IP sumber untuk evaluasi.

NACLaturan diterapkan sebagai berikut untuk lalu lintas dari gateway transit ke instance:

  • Aturan keluar tidak dievaluasi.

  • Aturan masuk tidak dievaluasi.

Subnet berbeda untuk EC2 instance dan asosiasi gateway transit

Pertimbangkan konfigurasi di mana Anda memiliki EC2 instance dalam satu subnet dan asosiasi gateway transit di subnet yang berbeda, dan setiap subnet dikaitkan dengan jaringan yang berbeda. ACL

ACLAturan jaringan diterapkan sebagai berikut untuk subnet EC2 instance:

  • Aturan keluar menggunakan alamat IP tujuan untuk mengevaluasi lalu lintas dari instance ke gateway transit.

  • Aturan masuk menggunakan alamat IP sumber untuk mengevaluasi lalu lintas dari gateway transit ke instance.

NACLaturan diterapkan sebagai berikut untuk subnet gateway transit:

  • Aturan keluar menggunakan alamat IP tujuan untuk mengevaluasi lalu lintas dari gateway transit ke instance.

  • Aturan keluar tidak digunakan untuk mengevaluasi lalu lintas dari instance ke gateway transit.

  • Aturan masuk menggunakan alamat IP sumber untuk mengevaluasi lalu lintas dari instance ke gateway transit.

  • Aturan masuk tidak digunakan untuk mengevaluasi lalu lintas dari gateway transit ke instans.

Praktik Terbaik

Gunakan subnet terpisah untuk setiap VPC lampiran gateway transit. Untuk setiap subnet, gunakan yang kecilCIDR, misalnya /28, sehingga Anda memiliki lebih banyak alamat untuk EC2 sumber daya. Saat Anda menggunakan subnet terpisah, Anda dapat mengonfigurasi yang berikut:

  • Biarkan inbound dan outbound NACL yang terkait dengan subnet gateway transit tetap terbuka.

  • Tergantung pada arus lalu lintas Anda, Anda dapat menerapkan NACLs ke subnet beban kerja Anda.

Untuk informasi selengkapnya tentang cara kerja VPC lampiran, lihatLampiran sumber daya.