Configurazione di rete - Guida avanzata all'onboarding AMS
Elenco di controllo degli accessi alla rete (NACL)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di rete

  • Numero ASN del Transit Gateway

    Si tratta dell'Autonomous System Number (ASN) per il lato AWS di una sessione Border Gateway Protocol (BGP), deve essere univoco e non può essere lo stesso utilizzato per Direct Connect o VPN.  L'intervallo è compreso tra 64512 e 65534 (incluso) per 16 bit. ASNs

  • Le gamme VPC CIDR dell'infrastruttura di landing zone multi-account AMS.

    Questi intervalli CIDR non possono sovrapporsi alla rete locale

    Puoi includere un intervallo CIDR /22 o fornire ogni VPC CIDR singolarmente. Nota che sono consentiti solo questi intervalli CIDR:

    • 10.0.0.0 - 10.255.255.255 (prefisso 10/8)

    • 172.16.0.0 - 172.31.255.255 (prefisso 172.16/12)

    • 192.168.0.0 - 192.168.255.255 (prefisso 192.168/16)

    Tieni presente che l'intervallo IP 198.18.0.0/15 non può essere utilizzato (è riservato da AWS Directory Service).

    • Intervallo CIDR VPC dell'infrastruttura principale (intervallo /22 consigliato)

    • Intervallo VPC CIDR di rete (intervallo /24 consigliato)

    • Intervallo CIDR VPC di Shared Services (intervallo consigliato /23)

    • Intervallo DMZ VPC CIDR (intervallo consigliato /25)

  • VPN ECMP (abilita o disabilita)

    In VPN ECMP support (Supporto VPN ECMP), selezionare enable (abilita) se è necessario disporre del supporto per l'instradamento Equal Cost Multipath (ECMP) tra le connessioni VPN. Se le connessioni pubblicizzano lo stesso messaggio CIDRs, il traffico viene distribuito equamente tra di loro.

Elenco di controllo degli accessi alla rete (NACL)

Una lista di controllo degli accessi alla rete (NACL) è un livello di sicurezza opzionale per il tuo VPC che funge da firewall per controllare il traffico in entrata e in uscita da una o più sottoreti. Potresti configurare una rete ACLs con regole simili ai tuoi gruppi di sicurezza per aggiungere un ulteriore livello di sicurezza al tuo VPC. Per ulteriori informazioni sulle differenze tra gruppi di sicurezza e rete ACLs, consulta Confronto tra gruppi di sicurezza e rete ACLs.

Tuttavia, nella landing zone multi-account AMS, per consentire ad AMS di gestire e monitorare efficacemente l'infrastruttura, l'uso di NACLs è limitato al seguente ambito:

  • NACLs non sono supportati negli account principali della landing zone multi-account: Management, Networking, Shared-services, Logging e Security.

  • NACLs sono supportati negli account delle applicazioni con più account di landing zone, a condizione che vengano utilizzati solo come elenco «Deny». Inoltre, devono avere la configurazione «Allow All» configurata per garantire le operazioni di monitoraggio e gestione di AMS.

In ambienti con più account su larga scala, puoi anche sfruttare funzionalità come i firewall di uscita centralizzati per controllare il traffico in uscita e/o le tabelle di routing Transit AWS Gateway nella landing zone multi-account AMS per separare il traffico di rete. VPCs