Funzionamento degli ACL di rete con i gateway di transito - Amazon VPC
Stessa sottorete per le istanze EC2 e l'associazione del gateway di transitoSottoreti diverse per le istanze EC2 e l'associazione del gateway di transitoBest practice

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Funzionamento degli ACL di rete con i gateway di transito

Una lista di controllo accessi di rete (NACL) è un livello facoltativo di protezione.

Le regole delle liste di controllo accessi di rete (NACL) vengono applicate in modo diverso, a seconda dello scenario:

Stessa sottorete per le istanze EC2 e l'associazione del gateway di transito

Si consideri una configurazione in cui nella stessa sottorete sono presenti istanze EC2 e un'associazione del gateway di transito. La stessa ACL di rete viene utilizzata sia per il traffico dalle istanze EC2 al gateway di transito che per il traffico dal gateway di transito alle istanze.

Le regole delle liste di controllo accessi di rete (NACL) per il traffico dalle istanze al gateway di transito vengono applicate nel modo seguente:

  • Le regole in uscita utilizzano l'indirizzo IP di destinazione per la valutazione.

  • Le regole in ingresso utilizzano l'indirizzo IP di origine per la valutazione.

Le regole delle liste di controllo accessi di rete (NACL) per il traffico dal gateway di transito alle istanze vengono applicate nel modo seguente:

  • Le regole in uscita non vengono valutate.

  • Le regole in entrata non vengono valutate.

Sottoreti diverse per le istanze EC2 e l'associazione del gateway di transito

Si consideri una configurazione in cui sono presenti istanze EC2 in una sottorete e un'associazione del gateway di transito in una sottorete diversa, con ogni sottorete associata a un'ACL di rete diversa.

Le regole delle ACL di rete vengono applicate come segue per la sottorete di istanze EC2:

  • Le regole in uscita utilizzano l'indirizzo IP di destinazione per valutare il traffico dalle istanze al gateway di transito.

  • Le regole in entrata utilizzano l'indirizzo IP di origine per valutare il traffico dal gateway di transito alle istanze.

Le regole dell'NACL per la sottorete del gateway di transito vengono applicate come segue:

  • Le regole in uscita utilizzano l'indirizzo IP di destinazione per valutare il traffico dal gateway di transito alle istanze.

  • Le regole in uscita non vengono utilizzate per valutare il traffico dalle istanze al gateway di transito.

  • Le regole in entrata utilizzano l'indirizzo IP di origine per valutare il traffico dalle istanze al gateway di transito.

  • Le regole in entrata non vengono utilizzate per valutare il traffico dal gateway di transito alle istanze.

Best practice

Utilizza una sottorete separata per ogni allegato VPC del gateway di transito. Per ogni sottorete, utilizza un piccolo CIDR, ad esempio /28, in modo da avere più indirizzi per le risorse EC2. Quando usi una sottorete separata, puoi configurare quanto segue:

  • Tieni aperta la lista di controllo accessi di rete in ingresso e in uscita associata alla sottorete del gateway di transito.

  • A seconda del flusso di traffico, puoi applicare liste di controllo degli accessi di rete alle sottoreti del carico di lavoro.

Per ulteriori informazioni sul funzionamento degli allegati VPC, consulta Collegamenti alle risorse.