本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
範例:控制對子網路中執行個體的存取
在此範例中,子網路中的執行個體可以彼此通訊,並可從信任的遠端電腦存取。遠端電腦可能是區域網路中的電腦,或是位於不同子網路或 VPC 中的執行個體。您可以使用它來連線到執行個體,以執行管理工作。您的安全群組規則和網路 ACL 規則可允許從遠端電腦的 IP 地址 (172.31.1.2/32) 進行存取。其他所有來自網際網路或其他網路的流量都會遭拒。此案例可讓您以彈性的方式變更執行個體的安全群組或安全群組規則,並將網路 ACL 做為備份防禦 layer。
![使用安全群組和 NACL](images/nacl-example-diagram.png)
以下是與執行個體產生關聯的安全群組範例。安全群組有狀態。因此,您不需要允許回應傳入流量的規則。
傳入 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
通訊協定類型 | 通訊協定 | 連接埠範圍 | 來源 | 評論 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
所有流量 | 全部 | 全部 | sg-1234567890abcdef0 | 與此安全群組相關聯的所有執行個體都可以彼此通訊。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SSH | TCP | 22 | 172.31.1.2/32 | 允許來自遠端電腦的傳入 SSH 存取。 |
傳出 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
通訊協定類型 | 通訊協定 | 連接埠範圍 | 目的地 | 評論 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
所有流量 | 全部 | 全部 | sg-1234567890abcdef0 | 與此安全群組相關聯的所有執行個體都可以彼此通訊。 |
以下是與執行個體的子網路產生關聯的網路 ACL 範例。網路 ACL 規則會套用至子網路中的所有執行個體。網路 ACL 無狀態。因此,您需要允許回應傳入流量的規則。
傳入 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
規則 # | 類型 | 通訊協定 | 連接埠範圍 | 來源 | 允許/拒絕 | 說明 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
100 | SSH | TCP | 22 | 172.31.1.2/32 | 允許 | 允許來自遠端電腦的傳入流量。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
* | 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 拒絕 | 拒絕所有其他傳入流量。 |
傳出 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
規則 # | 類型 | 通訊協定 | 連接埠範圍 | 目的地 | 允許/拒絕 | 說明 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
100 | 自訂 TCP | TCP | 1024-65535 | 172.31.1.2/32 | 允許 | 允許對遠端電腦的傳出回應。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
* | 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 拒絕 | 拒絕所有其他傳出流量。 |
如果您不小心將安全群組規則設得太寬鬆,此範例中的網路 ACL 會持續只允許來自指定 IP 地址的存取。例如,下列安全群組包含允許來自任何 IP 地址的傳入 SSH 存取的規則。不過,如果您將此安全群組與使用網路 ACL 的子網路中的執行個體建立關聯,則只有子網路和遠端電腦內的其他執行個體可以存取執行個體,因為網路 ACL 規則拒絕其他傳入子網路的流量。
傳入 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Type | 通訊協定 | 連接埠範圍 | 來源 | 評論 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
所有流量 | 全部 | 全部 | sg-1234567890abcdef0 | 與此安全群組相關聯的所有執行個體都可以彼此通訊。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SSH | TCP | 22 | 0.0.0.0/0 | 允許來自任何 IP 地址的 SSH 存取。 |
傳出 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Type | 通訊協定 | 連接埠範圍 | 目的地 | 評論 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
所有流量 | 全部 | 全部 | 0.0.0.0/0 | 允許所有對外流量. |