Mesma sub-rede para EC2 instâncias e associação de gateway de trânsito Sub-redes diferentes para EC2 instâncias e associação de gateway de trânsito Melhores práticas

Rede ACLs para gateways de trânsito no Amazon VPC Transit Gateways

Uma lista de controle de acesso à rede (NACL) é uma camada opcional de segurança.

As regras de lista de controle de acesso à rede (NACL) são aplicadas de forma diferente, dependendo do cenário:

Mesma sub-rede para EC2 instâncias e associação de gateway de trânsito
Sub-redes diferentes para EC2 instâncias e associação de gateway de trânsito

Mesma sub-rede para EC2 instâncias e associação de gateway de trânsito

Considere uma configuração em que você tenha EC2 instâncias e uma associação de gateway de trânsito na mesma sub-rede. A mesma ACL de rede é usada tanto para o tráfego das EC2 instâncias para o gateway de trânsito quanto para o tráfego do gateway de trânsito para as instâncias.

As regras de NACL são aplicadas da seguinte maneira para o tráfego das instâncias para o gateway de trânsito:

As regras de saída usam o endereço IP de destino para avaliação.
As regras de entrada usam o endereço IP de origem para avaliação.

As regras de NACL são aplicadas da seguinte maneira para o tráfego do gateway de trânsito para as instâncias:

As regras de saída não são avaliadas.
As regras de entrada não são avaliadas.

Sub-redes diferentes para EC2 instâncias e associação de gateway de trânsito

Considere uma configuração em que você tenha EC2 instâncias em uma sub-rede e uma associação de gateway de trânsito em uma sub-rede diferente, e cada sub-rede esteja associada a uma ACL de rede diferente.

As regras de ACL de rede são aplicadas da seguinte forma para a sub-rede da EC2 instância:

As regras de saída usam o endereço IP de destino para avaliar o tráfego das instâncias para o gateway de trânsito.
As regras de entrada usam o endereço IP de origem para avaliar o tráfego do gateway de trânsito para as instâncias.

As regras de NACL são aplicadas da seguinte maneira para a sub-rede do gateway de trânsito:

As regras de saída usam o endereço IP de destino para avaliar o tráfego do gateway de trânsito para as instâncias.
As regras de saída não são usadas para avaliar o tráfego das instâncias para o gateway de trânsito.
As regras de entrada usam o endereço IP de origem para avaliar o tráfego das instâncias para o gateway de trânsito.
As regras de entrada não são usadas para avaliar o tráfego do gateway de trânsito para as instâncias.

Melhores práticas

Use uma sub-rede separada para cada anexo da VPC do gateway. Para cada sub-rede, use um CIDR pequeno, por exemplo /28, para que você tenha mais endereços para recursos. EC2 Ao usar uma sub-rede separada, é possível configurar o seguinte:

Mantenha aberta a NACL de entrada e saída associada às sub-redes do gateway de trânsito.
Dependendo do seu fluxo de tráfego, você pode se inscrever em suas NACLs sub-redes de carga de trabalho.

Para obter mais informações sobre como os anexos da VPC funcionam, consulte Anexos de recursos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS políticas gerenciadas

Cotas