ACLNozioni di base sulla rete - Amazon Virtual Private Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

ACLNozioni di base sulla rete

Di seguito sono riportate le cose di base che devi sapere sulla reteACLs:

  • Viene VPC automaticamente fornito con una rete predefinita modificabile. ACL Per impostazione predefinita, consente tutto il traffico in entrata e in uscita e, se applicabile, IPv4 il traffico. IPv6

  • È possibile creare una rete personalizzata ACL e associarla a una sottorete per consentire o negare un traffico specifico in entrata o in uscita a livello di sottorete.

  • Ogni sottorete dell'utente VPC deve essere associata a una rete. ACL Se non si associa esplicitamente una sottorete a una reteACL, la sottorete viene associata automaticamente alla rete predefinita. ACL

  • È possibile associare una rete ACL a più sottoreti. Tuttavia, una sottorete può essere associata a una sola rete ACL alla volta. Quando si associa una rete ACL a una sottorete, l'associazione precedente viene rimossa.

  • Una rete ACL ha regole in entrata e regole in uscita. Ogni regola può consentire o negare il traffico. Ogni regola ha un numero compreso tra 1 e 32766. Quando decidiamo se consentire o rifiutare il traffico, valutiamo le regole in ordine, a partire dalla regola numerata più bassa. Se il traffico corrisponde a una regola, la regola viene applicata e non ne viene valutata nessun'altra. Ti consigliamo di iniziare creando regole in incrementi (ad esempio, incrementi di 10 o 100) in modo da poter inserire nuove regole se richiesto in seguito.

  • Valutiamo ACL le regole di rete quando il traffico entra ed esce dalla sottorete, non quando viene instradato all'interno di una sottorete.

  • NACLssono stateless, il che significa che le informazioni sul traffico inviato o ricevuto in precedenza non vengono salvate. Se, ad esempio, si crea una NACL regola per consentire un traffico in entrata specifico verso una sottorete, le risposte a tale traffico non vengono consentite automaticamente. Ciò è in contrasto con il funzionamento dei gruppi di sicurezza. I NAC sono stateful, quindi le informazioni sul traffico inviato o ricevuto in precedenza vengono salvate. Se, ad esempio, un gruppo di sicurezza consente il traffico in entrata verso un'EC2istanza, le risposte vengono automaticamente consentite indipendentemente dalle regole del gruppo di sicurezza in uscita.

  • La rete non ACLs può bloccare DNS le richieste da o verso il Route 53 Resolver (noto anche come indirizzo IP VPC +2 o). AmazonProvided DNS Per filtrare DNS le richieste tramite Route 53 Resolver, puoi abilitare Route 53 Resolver Firewall DNS nella Amazon Route 53 Developer Guide.

  • La rete non ACLs può bloccare il traffico verso l'Instance Metadata Service (). IMDS Per gestire l'accesso aIMDS, consulta Configurare le opzioni dei metadati dell'istanza nella Amazon EC2 User Guide.

  • La rete ACLs non filtra il traffico destinato e proveniente da quanto segue:

    • Servizi per i nomi di dominio Amazon (DNS)

    • Protocollo di configurazione Amazon Dynamic Host (DHCP)

    • Metadati delle EC2 istanze Amazon

    • Endpoint di metadati Amazon ECS Task

    • Attivazione della licenza per le istanze Windows

    • Servizio di sincronizzazione oraria di Amazon

    • Indirizzi IP riservati utilizzati dal router predefinito VPC

  • Esistono delle quote (note anche come limiti) per il numero di reti ACLs VPC e il numero di regole per reteACL. Per ulteriori informazioni, consulta VPCQuote Amazon.