Netzwerk ACLs für Transit-Gateways in AWS Transit Gateway - Amazon VPC
Gleiches Subnetz für EC2-Instances und Transit-Gateway-ZuordnungVerschiedene Subnetze für EC2-Instances und Transit-Gateway-ZuordnungBewährte Methoden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Netzwerk ACLs für Transit-Gateways in AWS Transit Gateway

Eine Netzwerk-ACL (Network Access Control List; NACL) ist eine optionale Sicherheitsebene.

NACL-Regeln werden je nach Szenario unterschiedlich angewendet:

Gleiches Subnetz für EC2-Instances und Transit-Gateway-Zuordnung

Betrachten Sie eine Konfiguration, bei der Sie über EC2-Instances und eine Transit-Gateway-Zuordnung im selben Subnetz verfügen. Die gleiche Netzwerk-ACL wird sowohl für den Datenverkehr von den EC2-Instances zum Transit-Gateway als auch für den Datenverkehr vom Transit-Gateway zu den Instances verwendet.

NACL-Regeln werden auf folgende Weise für den Datenverkehr von Instances zum Transit Gateway angewendet:

  • Ausgehende Regeln verwenden die Ziel-IP-Adresse für die Auswertung.

  • Eingehende Regeln verwenden die Quell-IP-Adresse für die Auswertung.

NACL-Regeln werden auf folgende Weise für den Datenverkehr vom Transit Gateway zu den Instances angewendet:

  • Ausgehende Regeln werden nicht ausgewertet.

  • Eingehende Regeln werden nicht ausgewertet.

Verschiedene Subnetze für EC2-Instances und Transit-Gateway-Zuordnung

Betrachten Sie eine Konfiguration, bei der Sie EC2-Instances in einem Subnetz und eine Transit-Gateway-Zuordnung in einem anderen Subnetz haben und jedes Subnetz einer anderen Netzwerk-ACL zugeordnet ist.

Netzwerk-ACL-Regeln werden für das EC2-Instance-Subnetz wie folgt angewendet:

  • Ausgehende Regeln verwenden die Ziel-IP-Adresse, um den Datenverkehr von den Instances auf das Transit-Gateway auszuwerten.

  • Eingehende Regeln verwenden die Quell-IP-Adresse, um den Datenverkehr vom Transit-Gateway zu den Instances auszuwerten.

NACL-Regeln werden für das Transit-Gateway-Subnetz wie folgt angewendet:

  • Ausgehende Regeln verwenden die Ziel-IP-Adresse, um den Datenverkehr vom Transit-Gateway zu den Instances auszuwerten.

  • Ausgehende Regeln werden nicht verwendet, um den Datenverkehr von den Instances zum Transit-Gateway auszuwerten.

  • Eingehende Regeln verwenden die Quell-IP-Adresse, um den Datenverkehr von den Instances auf das Transit-Gateway auszuwerten.

  • Eingehende Regeln werden nicht verwendet, um den Datenverkehr vom Transit-Gateway zu den Instances auszuwerten.

Bewährte Methoden

Verwenden Sie für jeden Transit-Gateway-VPC-Anhang ein separates Subnetz. Verwenden Sie für jedes Subnetz einen kleinen CIDR, z. B. /28, damit Sie mehr Adressen für EC2-Ressourcen haben. Wenn Sie ein separates Subnetz verwenden, können Sie Folgendes konfigurieren:

  • Halten Sie die eingehende und ausgehende NACL offen, die den Transit-Gateway-Subnetzen zugeordnet ist.

  • Abhängig von Ihrem Datenverkehrsfluss können Sie sich NACLs auf Ihre Workload-Subnetze beziehen.

Weitere Informationen zu der Funktionsweise von VPC-Anhängen finden Sie unter Ressourcen-Anhänge.