View a markdown version of this page

Jaringan ACLs untuk gateway transit di AWS Transit Gateway - Amazon VPC
Subnet yang sama untuk instans EC2 dan asosiasi gateway transitSubnet berbeda untuk instans EC2 dan asosiasi gateway transitPraktik Terbaik

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jaringan ACLs untuk gateway transit di AWS Transit Gateway

Network Access Control List (NACL) adalah lapisan keamanan opsional.

Aturan Network Access Control List (NACL) diterapkan secara berbeda, tergantung pada skenario:

Subnet yang sama untuk instans EC2 dan asosiasi gateway transit

Pertimbangkan konfigurasi di mana Anda memiliki instans EC2 dan asosiasi gateway transit di subnet yang sama. ACL jaringan yang sama digunakan untuk lalu lintas dari instans EC2 ke gateway transit dan lalu lintas dari gateway transit ke instans.

Aturan NACL diterapkan sebagai berikut untuk lalu lintas dari instance ke gateway transit:

  • Aturan keluar menggunakan alamat IP tujuan untuk evaluasi.

  • Aturan masuk menggunakan alamat IP sumber untuk evaluasi.

Aturan NACL diterapkan sebagai berikut untuk lalu lintas dari gateway transit ke instance:

  • Aturan keluar tidak dievaluasi.

  • Aturan masuk tidak dievaluasi.

Subnet berbeda untuk instans EC2 dan asosiasi gateway transit

Pertimbangkan konfigurasi di mana Anda memiliki instans EC2 dalam satu subnet dan asosiasi gateway transit di subnet yang berbeda, dan setiap subnet dikaitkan dengan ACL jaringan yang berbeda.

Aturan ACL jaringan diterapkan sebagai berikut untuk subnet instans EC2:

  • Aturan keluar menggunakan alamat IP tujuan untuk mengevaluasi lalu lintas dari instance ke gateway transit.

  • Aturan masuk menggunakan alamat IP sumber untuk mengevaluasi lalu lintas dari gateway transit ke instance.

Aturan NACL diterapkan sebagai berikut untuk subnet gateway transit:

  • Aturan keluar menggunakan alamat IP tujuan untuk mengevaluasi lalu lintas dari gateway transit ke instance.

  • Aturan keluar tidak digunakan untuk mengevaluasi lalu lintas dari instance ke gateway transit.

  • Aturan masuk menggunakan alamat IP sumber untuk mengevaluasi lalu lintas dari instance ke gateway transit.

  • Aturan masuk tidak digunakan untuk mengevaluasi lalu lintas dari gateway transit ke instans.

Praktik Terbaik

Gunakan subnet terpisah untuk setiap lampiran VPC gateway transit. Untuk setiap subnet, gunakan CIDR kecil, misalnya /28, sehingga Anda memiliki lebih banyak alamat untuk sumber daya EC2. Saat Anda menggunakan subnet terpisah, Anda dapat mengonfigurasi yang berikut:

  • Biarkan NACL masuk dan keluar yang terkait dengan subnet gateway transit tetap terbuka.

  • Tergantung pada arus lalu lintas Anda, Anda dapat menerapkan NACLs ke subnet beban kerja Anda.

Untuk informasi selengkapnya tentang cara kerja lampiran VPC, lihat. Lampiran sumber daya