Fatal编程技术网
  • amazon-web-services/
  • Amazon web services 如何限制同一专有网络内的子网之间的访问?

Amazon web services 如何限制同一专有网络内的子网之间的访问?

amazon-web-services

Amazon web services 如何限制同一专有网络内的子网之间的访问?,amazon-web-services,amazon-vpc,subnet,Amazon Web Services,Amazon Vpc,Subnet,因此,我一直在跟随一些VPC架构师,他们鼓励我分层分区子网(而不是简单的公共/私有子网) 然后我决定要有这些子网: elb公共 elb内部 服务 数据库 现在,我想禁止elb-*子网中的任何内容访问数据库子网。默认情况下,VPC中的所有内容都可以通过路由表中的本地路由相互联系,AWS不允许删除这些路由,这不是我想要的行为 在我上面链接的文章中,有一种方法可以将所有内容拆分到VPC,并将它们与VPC对等连接,因此在其他情况下,为了限制VPC之间的访问,我可以简单地不对等它们。但这种方法对我来说

因此,我一直在跟随一些VPC架构师,他们鼓励我分层分区子网(而不是简单的公共/私有子网)

然后我决定要有这些子网:

  • elb公共
  • elb内部
  • 服务
  • 数据库
现在,我想禁止
elb-*
子网中的任何内容访问
数据库
子网。默认情况下,VPC中的所有内容都可以通过路由表中的本地路由相互联系,AWS不允许删除这些路由,这不是我想要的行为

在我上面链接的文章中,有一种方法可以将所有内容拆分到VPC,并将它们与VPC对等连接,因此在其他情况下,为了限制VPC之间的访问,我可以简单地不对等它们。但这种方法对我来说似乎有点复杂,我希望找到一种解决方案,不需要我将任何内容拆分到VPC

如何实现上述用例?

网络ACL将满足您的需要。请记住,它们是无状态的,因此必须允许临时端口。

最佳实践是使用网络ACL来定义子网可以相互通信的粗略规则,然后根据特定服务器的应用程序/角色使用安全组来定义更细粒度的规则。
网络ACL将满足您的需要。请记住,它们是无状态的,因此必须允许临时端口。

最佳实践是使用网络ACL来定义子网可以相互通信的粗略规则,然后根据特定服务器的应用程序/角色使用安全组来定义更细粒度的规则。

该指南记录了一个非常“严格”的安全设计。这相当复杂

如果您有一个较小的应用程序,您可以使用安全组来实现类似的结果,只使用一个子网(或者您可能更喜欢一个公共子网和一个私有子网)

传统网络只能在子网之间设置防火墙,但安全组可以在每个单独的资源周围提供防火墙。

该指南记录了非常“严格”的安全设计。这相当复杂

如果您有一个较小的应用程序,您可以使用安全组来实现类似的结果,只使用一个子网(或者您可能更喜欢一个公共子网和一个私有子网)

传统网络只能在子网之间放置防火墙,但安全组可以在每个单独的资源周围提供防火墙。

您是否忽略了这样一个事实:即使子网之间的路由始终可用,资源上的安全组只允许您明确允许的内容?您是否忽略了这样一个事实:即使子网之间的路由始终可用,资源上的安全组也只允许您明确允许的内容?