Mesma sub-rede para instâncias do EC2 e a associação do gateway de trânsito Sub-redes diferentes para instâncias do EC2 e a associação do gateway de trânsito Melhores práticas

Como as network ACLs funcionam com gateways de trânsito

Uma lista de controle de acesso à rede (NACL) é uma camada opcional de segurança.

As regras de lista de controle de acesso à rede (NACL) são aplicadas de forma diferente, dependendo do cenário:

Mesma sub-rede para instâncias do EC2 e a associação do gateway de trânsito
Sub-redes diferentes para instâncias do EC2 e a associação do gateway de trânsito

Mesma sub-rede para instâncias do EC2 e a associação do gateway de trânsito

Considere uma configuração em que você tenha uma instâncias do EC2 e uma associação do gateway de trânsito que tenha a mesma sub-rede. A mesma ACL de rede é usada para o tráfego das instâncias do EC2 para o gateway de trânsito e o tráfego do gateway de trânsito para as instâncias.

As regras de NACL são aplicadas da seguinte maneira para o tráfego das instâncias para o gateway de trânsito:

As regras de saída usam o endereço IP de destino para avaliação.
As regras de entrada usam o endereço IP de origem para avaliação.

As regras de NACL são aplicadas da seguinte maneira para o tráfego do gateway de trânsito para as instâncias:

As regras de saída não são avaliadas.
As regras de entrada não são avaliadas.

Sub-redes diferentes para instâncias do EC2 e a associação do gateway de trânsito

Considere uma configuração em que você tem instâncias do EC2 em uma sub-rede e uma associação de gateway de trânsito em uma sub-rede diferente, e cada sub-rede está associada a uma ACL de rede diferente.

As regras de ACL de rede são aplicadas da seguinte forma para a sub-rede da instância do EC2:

As regras de saída usam o endereço IP de destino para avaliar o tráfego das instâncias para o gateway de trânsito.
As regras de entrada usam o endereço IP de origem para avaliar o tráfego do gateway de trânsito para as instâncias.

As regras de NACL são aplicadas da seguinte maneira para a sub-rede do gateway de trânsito:

As regras de saída usam o endereço IP de destino para avaliar o tráfego do gateway de trânsito para as instâncias.
As regras de saída não são usadas para avaliar o tráfego das instâncias para o gateway de trânsito.
As regras de entrada usam o endereço IP de origem para avaliar o tráfego das instâncias para o gateway de trânsito.
As regras de entrada não são usadas para avaliar o tráfego do gateway de trânsito para as instâncias.

Melhores práticas

Use uma sub-rede separada para cada anexo da VPC do gateway. Para cada sub-rede, use um CIDR pequeno, por exemplo /28, para que você tenha mais endereços para recursos do EC2. Ao usar uma sub-rede separada, é possível configurar o seguinte:

Mantenha aberta a NACL de entrada e saída associada às sub-redes do gateway de trânsito.
Dependendo do fluxo de tráfego, é possível aplicar NACLs às sub-redes de workload.

Para obter mais informações sobre como os anexos da VPC funcionam, consulte Anexos de recursos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Políticas gerenciadas pela AWS

Cotas