Konfigurasi jaringan - Panduan Orientasi Tingkat Lanjut AMS
Daftar kontrol akses jaringan (NACL)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasi jaringan

  • Nomor ASN Transit Gateway

    Ini adalah Autonomous System Number (ASN) untuk sisi AWS dari sesi Border Gateway Protocol (BGP), harus unik dan tidak boleh sama dengan yang digunakan untuk Direct Connect atau VPN Anda.  Kisarannya adalah 64512 hingga 65534 (inklusif) untuk 16-bit. ASNs

  • Infrastruktur landing zone multi-akun AMS Anda, rentang VPC CIDR.

    Rentang CIDR ini tidak dapat tumpang tindih dengan jaringan lokal Anda

    Anda dapat menyertakan rentang CIDR /22, atau menyediakan setiap CIDR VPC satu per satu. Perhatikan bahwa hanya rentang CIDR ini yang diizinkan:

    • 10.0.0.0 - 10.255.255.255 (prefiks 10/8)

    • 172.16.0.0 - 172.31.255.255 (prefiks 172.16/12)

    • 192.168.0.0 - 192.168.255.255 (prefiks 192.168/16)

    Perhatikan bahwa rentang IP 198.18.0.0/15 tidak dapat digunakan (ini dicadangkan oleh AWS Directory Service).

    • Rentang CIDR VPC Infrastruktur Inti (/rentang 22 direkomendasikan)

    • Jaringan VPC CIDR rentang (/24 rentang direkomendasikan)

    • Jangkauan CIDR VPC Layanan Bersama (/23 rentang direkomendasikan)

    • Rentang CIDR VPC DMZ (/rentang 25 direkomendasikan)

  • VPN ECMP (mengaktifkan atau menonaktifkan)

    Untuk dukungan VPN ECMP, pilih aktifkan jika Anda memerlukan dukungan perutean Equal Cost Multipath (ECMP) antara koneksi VPN. Jika koneksi mengiklankan hal yang sama CIDRs, lalu lintas didistribusikan secara merata di antara mereka.

Daftar kontrol akses jaringan (NACL)

Network Access Control List (NACL) adalah lapisan keamanan opsional untuk VPC Anda yang bertindak sebagai firewall untuk mengontrol lalu lintas masuk dan keluar dari satu atau lebih subnet. Anda dapat mengatur jaringan ACLs dengan aturan yang mirip dengan grup keamanan Anda untuk menambahkan lapisan keamanan tambahan ke VPC Anda. Untuk informasi selengkapnya tentang perbedaan antara grup keamanan dan jaringan ACLs, lihat Perbandingan grup keamanan dan jaringan ACLs.

Namun, di AMS multi-account landing zone, agar AMS dapat mengelola dan memantau Infrastruktur secara efektif, penggunaan NACLs terbatas pada cakupan berikut:

  • NACLs tidak didukung di akun inti landing zone multi-akun: Manajemen, Jaringan, Layanan Bersama, Logging, dan Keamanan.

  • NACLs didukung di akun aplikasi landing zone multi-akun selama hanya digunakan sebagai daftar “Tolak”. Selain itu, mereka harus memiliki “Izinkan Semua” yang dikonfigurasi untuk memastikan pemantauan AMS dan operasi manajemen.

Di lingkungan multi-akun berskala besar, Anda juga dapat memanfaatkan fitur seperti firewall jalan keluar terpusat untuk mengontrol lalu lintas keluar dan/atau tabel perutean Transit AWS Gateway di landing zone multi-akun AMS untuk memisahkan lalu lintas jaringan. VPCs