本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 運輸閘道中傳VPC輸閘道ACLs的網路
網路存取控制清單 (NACL) 是選擇性的安全性層級。
網路存取控制清單 (NACL) 規則的套用方式不同,視情境而定:
EC2執行個體和傳輸閘道關聯的相同子網路
請考慮在相同子網路中有EC2執行個體和傳輸閘道關聯的組態。同一個網路用ACL於從EC2執行個體到傳輸閘道的流量,以及從傳輸閘道到執行個體的流量。
NACL針對從執行個體到傳輸閘道的流量套用規則,如下所示:
-
傳出規則使用目的地 IP 地址進行評估。
-
傳入規則使用來源 IP 地址進行評估。
NACL針對從傳輸閘道到執行個體的流量套用規則,如下所示:
-
傳出規則不會進行評估。
-
傳入規則不會進行評估。
EC2執行個體和傳輸閘道關聯的不同子網路
請考慮一個組態,其中一個子網路中有EC2執行個體,在不同的子網路中有傳輸閘道關聯,而且每個子網路都與不同的網路相關聯ACL。
針對EC2執行個體子網路套用網路ACL規則,如下所示:
-
傳出規則使用目的地 IP 地址評估從執行個體到傳輸閘道的流量。
-
傳入規則使用來源 IP 地址評估從傳輸閘道到執行個體的流量。
NACL傳輸閘道子網路的規則如下所示:
-
傳出規則使用目的地 IP 地址評估從傳輸閘道到執行個體的流量。
-
傳出規則不用於評估從執行個體到傳輸網關的流量。
-
傳入規則使用來源 IP 地址評估從執行個體到傳輸閘道的流量。
-
傳入規則不用於評估從傳輸閘道到執行個體的流量。
最佳實務
為每個傳輸閘道VPC附件使用不同的子網路。對於每個子網路,請使用小型 CIDR (例如 /28),以便您擁有更多資EC2源位址。當您使用獨立的子網路時,您可以設定下列項目:
-
讓與傳輸NACL閘道子網路相關聯的輸入和輸出保持開啟狀態。
-
根據您的流量,您可以套用NACLs至工作負載子網路。
如需有關VPC附件如何運作的詳細資訊,請參閱資源連接。
