本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
網路存取控制清單 (NACL) 是選擇性的安全性層。
網路存取控制清單 (NACL) 規則會以不同方式套用,視案例而定:
EC2 執行個體和傳輸閘道關聯的相同子網路
考慮這樣一個組態,即在相同子網路中擁有 EC2 執行個體和傳輸閘道關聯。相同的網路 ACL 用於從 EC2 執行個體到傳輸閘道的流量,以及從傳輸閘道到執行個體的流量。
針對從執行個體到傳輸閘道的流量,NACL 規則按以下進行套用:
-
傳出規則使用目的地 IP 地址進行評估。
-
傳入規則使用來源 IP 地址進行評估。
針對從傳輸閘道執行個體的流量,NACL 規則按以下方式進行套用:
-
傳出規則不會進行評估。
-
傳入規則不會進行評估。
EC2 執行個體和傳輸閘道關聯的不同子網路
考慮這樣一個組態,即在一個子網路中擁有 EC2 執行個體,而傳輸閘道關聯位於不同子網路中,並且每個子網路都與不同的網路 ACL 相關聯。
網路 ACL 規則按如下 EC2 執行個體子網路的方式進行套用:
-
傳出規則使用目的地 IP 地址評估從執行個體到傳輸閘道的流量。
-
傳入規則使用來源 IP 地址評估從傳輸閘道到執行個體的流量。
針對傳輸閘道子網路,NACL 規則按以下方式進行套用:
-
傳出規則使用目的地 IP 地址評估從傳輸閘道到執行個體的流量。
-
傳出規則不用於評估從執行個體到傳輸網關的流量。
-
傳入規則使用來源 IP 地址評估從執行個體到傳輸閘道的流量。
-
傳入規則不用於評估從傳輸閘道到執行個體的流量。
最佳實務
為每個傳輸閘道 VPC 連接使用個別子網路。對於每個子網路,請使用小型 CIDR (例如 /28),以便擁有 EC2 資源的更多位址。當您使用獨立的子網路時,您可以設定下列項目:
-
保持與傳輸閘道子網路相關聯的輸入和輸出 NACL 之開啟。
-
視您的流量而定,您可以將 NACL 套用至工作負載子網路。
如需 VPC 連接運作方式的詳細資訊,請參閱 資源連接。
