常見問答集 - AWS 規定指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

常見問答集

在多可用區部署中,我是否需要負載平衡器來透過防火牆路由網際網路流量?

Network Firewall 對傳入和傳出流量是透明的,本身不需要負載平衡器。僅應用程式需要負載平衡器 (與標準多可用區部署一樣)。在本指南的周邊區域架構中,Network Firewall 透過路由表和公有子網路中對應的網路介面插入。

如果 Application Load Balancer 不在公有子網路中 (路由至網際網路閘道),則它是內部 Application Load Balancer 嗎?

Application Load Balancer 不是內部 Application Load Balancer。即使子網路未直接連線至網際網路,Application Load Balancer 仍會繼續至外部、面向網際網路的子網路。子網路對網際網路是透明可用的,因為從終端子網路至公有子網路的路由基於 Network Firewall 的網路介面。

Network Firewall 是否需要自己的安全子網路?

是,Network Firewall 需要自己的安全子網路。需要安全子網路 (公有) 以確保可以透過路由表控制往返 Application Load Balancer 的流量路由。

目標架構是否對輸入和輸出流量防火牆都有效?

是,目標架構對輸入和輸出流量防火牆都有效。如果啟動從應用程式至 VPC 外部的連線,則您必須將 NAT 閘道新增至端點的子網路。此外,您還必須使用路由表將流量從應用程式的子網路轉送至 NAT 閘道 (如本指南基於 Network Firewall 的周邊區域架構一節圖表中的路由表應用程式所述)。然後,不需要進一步變更,因為所有傳出流量仍然通過 Network Firewall。