本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用安全组控制VPC莱迪思的流量
AWS 安全组充当虚拟防火墙,控制与其关联的实体的进出网络流量。借助VPC莱迪思,您可以创建安全组并将其分配给连接服务网络的VPC关联,从而为您的服务网络实施额外的网络级安全保护。VPC如果您使用VPC终端节点将连接到服务网络,则也可以为终VPC端节点分配安全组。VPC同样,您可以将安全组分配给您创建的资源网关,以允许访问中的资源VPC。
托管前缀列表
VPC当您使用服务网络关联通过关联将您VPC连接到服务网络时,VPC莱迪思提供托管前缀列表,其中包括用于通过莱迪思网络路由流量的IP地址。VPC您可以在安全组规则中引用VPC莱迪思托管的前缀列表。这允许流量从客户端、通过VPC莱迪思服务网络流向莱VPC迪思服务目标。
例如,假设您在美国西部(俄勒冈)地区将一个EC2实例注册为目标 (us-west-2)。您可以向实例安全组添加一条规则,允许来自VPC莱迪思托管前缀列表的入站HTTPS访问,以便该区域的VPC莱迪思流量可以到达该实例。如果您从安全组中移除所有其他入站规则,则可以阻止除VPC莱迪思流量之外的任何流量到达该实例。
VPC莱迪思托管前缀列表的名称如下:
-
com.amazonaws。
region.vpc-lattice -
com.amazonaws。
region.ipv6.vpc-lattice
有关更多信息,请参阅《Amazon VPC 用户指南》中的AWS托管前缀列表。
Windows 客户端
VPC莱迪思前缀列表中的地址是链路本地地址和不可路由的公有地址。如果您从Windows客户端连接到VPC莱迪思,则必须更新Windows客户端的配置,使其将VPC莱迪思使用的本地链路地址转发到客户端的主IP地址。以下是更新 Windows 客户端配置的命令示例,其中 169.254.171.0 是莱迪思使用的本地链路地址。VPC
C:\>route add169.254.171.0mask 255.255.255.0primary-ip-address
安全组规则
无论VPC是否使用安全组,使用莱迪思都不会影响您现有VPC的安全组配置。但您可以随时添加自己的安全组。
重要注意事项
-
客户端的安全组规则控制流向VPC莱迪思的出站流量。
-
目标的安全组规则控制从VPC莱迪思到目标的入站流量,包括运行状况检查流量。
-
用于在服务网络之间关联的安全组规则,并VPC控制哪些客户端可以访问VPC莱迪思服务网络。
-
资源网关的安全组规则控制从资源网关到资源的出站流量。
从资源网关流向数据库资源的流量推荐的出站规则
要使流量从资源网关流向资源,必须为开放端口创建出站规则,为资源创建接受的侦听器协议。
| 目标位置 | 协议 | 端口范围 | 注释 |
|---|---|---|---|
CIDR range for resource |
TCP |
3306 |
允许从资源网关到数据库的流量 |
服务网络和VPC关联的推荐入站规则
要使流量从客户端流VPCs向与服务网络关联的服务,必须为侦听器端口创建入站规则,为服务创建侦听器协议。
| 来源 | 协议 | 端口范围 | 注释 |
|---|---|---|---|
VPC CIDR |
listener |
listener |
允许从客户端到莱迪VPC思的流量 |
针对从客户端实例流向VPC莱迪思的流量的推荐出站规则
默认情况下,安全组允许所有出站流量。但是,如果您有自定义的出站规则,则必须允许监听器端口和协议的出站流量发送到VPC莱迪思前缀,以便客户端实例可以连接到与VPC莱迪思服务网络关联的所有服务。您可以通过引用VPC莱迪思前缀列表的ID来允许此流量。
| 目标位置 | 协议 | 端口范围 | 注释 |
|---|---|---|---|
ID of the VPC Lattice prefix list |
listener |
listener |
允许从客户端到莱迪VPC思的流量 |
针对从VPC莱迪思流向目标实例的流量推荐的入站规则
您不能将客户端安全组用作目标安全组的来源,因为流量来自VPC莱迪思。您可以参考VPC莱迪思前缀列表的 ID。
| 来源 | 协议 | 端口范围 | 注释 |
|---|---|---|---|
ID of the VPC Lattice prefix list |
target |
target |
允许从VPC莱迪思到目标的流量 |
ID of the VPC Lattice prefix list |
health check |
health check |
允许从VPC莱迪思到目标的运行状况检查流量 |
管理VPC协会的安全组
您可以使用查看、添加或更新服务网络关联上的VPC安全组。 AWS CLI 使用时 AWS CLI,请记住您的命令在 AWS 区域 配置文件中运行。如果您想要在不同的区域中运行命令,可以为配置文件更改默认区域,或者与命令一起使用 --region 参数。
在开始之前,请确认您创建的安全组与要添加到服务网络中的安全组VPC相同。VPC有关更多信息,请参阅 Amazon VPC 用户指南中的使用安全组控制资源流量
使用控制台创建VPC关联时添加安全组
打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中的VPC莱迪思下,选择服务网络。
-
选择服务网络名称以打开其详细信息页面。
-
在VPC关联选项卡上,选择创建VPC关联,然后选择添加VPC关联。
-
选择一个VPC和最多五个安全组。
-
选择 Save changes(保存更改)。
使用控制台为现有VPC关联添加或更新安全组
打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中的VPC莱迪思下,选择服务网络。
-
选择服务网络名称以打开其详细信息页面。
-
在VPC关联选项卡上,选中关联的复选框,然后选择操作、编辑安全组。
-
根据需要添加和删除安全组。
-
选择 Save changes(保存更改)。
要在创建VPC关联时使用添加安全组 AWS CLI
使用 create-service-network-vpc-assoc iation 命令,指定VPC关联VPC的 ID 和要添加的安全组的 ID。
aws vpc-lattice create-service-network-vpc-association \ --service-network-identifiersn-0123456789abcdef0\ --vpc-identifiervpc-1a2b3c4d\ --security-group-idssg-7c2270198example
如果成功,该命令将返回类似于以下内容的输出。
{
"arn": "arn",
"createdBy": "464296918874",
"id": "snva-0123456789abcdef0",
"status": "CREATE_IN_PROGRESS",
"securityGroupIds": ["sg-7c2270198example"]
}要为现有VPC关联添加或更新安全组,请使用 AWS CLI
使用 update-service-network-vpc-assoc iation命令,指定服务网络和安全IDs组的 ID。这些安全组会覆盖先前关联的任何安全组。更新列表时,至少定义一个安全组。
aws vpc-lattice update-service-network-vpc-association --service-network-vpc-association-identifiersn-903004f88example\ --security-group-idssg-7c2270198examplesg-903004f88example
警告
您无法删除所有安全组。相反,您必须先删除VPC关联,然后在没有任何安全组的情况下重新创建VPC关联。删除VPC关联时要小心。此操作将阻止流量到达该服务网络中的服务。
