ฉันมี VM อยู่ใน AZ ต่างๆ บน AWSคุณต้องมีเครือข่ายย่อยในแต่ละ AZ เพื่อให้ดำเนินการดังกล่าวได้
หากฉันสร้างเครือข่าย acl สำหรับการตั้งค่าทั้งหมด (เช่น เพื่อเชื่อมโยงกับเครือข่ายย่อยทั้งหมด) ฉันจำเป็นต้องระบุกฎการอนุญาตจากช่วง CIDR ของเครือข่ายย่อยทั้งหมดหรือไม่ หากไม่ดำเนินการ เครือข่าย acl จะบล็อกการรับส่งข้อมูลระหว่างเครือข่ายย่อยตามกฎพอร์ตของฉันหรือไม่
ฉันคิดว่าพวกเขาจะ...แต่ต้องการการยืนยัน
โดยทั่วไป ขอแนะนำให้คุณปล่อย Network ACL ไว้ที่การตั้งค่าเริ่มต้น "อนุญาตทั้งหมด" และใช้แทน Security Groups เพื่อความปลอดภัยเครือข่าย.
ก ป.ป.ช เป็นตัวแทนของเราเตอร์แบบดั้งเดิมที่ตั้งระหว่างซับเน็ต ควบคุมทราฟฟิกที่เข้า/ออกจากซับเน็ต กฎของ NACL คือ ไร้สัญชาติหมายความว่าจำเป็นต้องกำหนดไว้ใน ทั้งสองทิศทาง. NACLs ใช้กับการรับส่งข้อมูลเท่านั้น ระหว่าง ซับเน็ต
กลุ่มความปลอดภัย เป็นนวัตกรรมใหม่ในระบบคลาวด์คอมพิวติ้ง พวกเขาเป็นไฟร์วอลล์ในแต่ละทรัพยากรแต่ละรายการใน VPC (ให้ถูกต้องยิ่งขึ้น บนแต่ละอินเทอร์เฟซเครือข่ายยืดหยุ่น) ซึ่งช่วยให้สามารถควบคุมความปลอดภัยได้ละเอียดยิ่งขึ้น กฎคือ มีสถานะหมายความว่าคำขอที่ส่ง ออก จะช่วยให้การตอบกลับมาโดยอัตโนมัติ ใน.
กลุ่มความปลอดภัยสามารถอ้างอิงถึงกันได้ ตัวอย่างเช่น พิจารณา Amazon EC2 Instance และฐานข้อมูล Amazon RDS สามารถวางกลุ่มความปลอดภัยบนอินสแตนซ์ EC2 ซึ่งอนุญาตให้รับส่งข้อมูลเว็บเข้ามาได้ สามารถวางกลุ่มความปลอดภัยบนอินสแตนซ์ RDS ที่อนุญาตการสืบค้น SQL ขาเข้า จากกลุ่มความปลอดภัยที่เกี่ยวข้องกับอินสแตนซ์ EC2 เท่านั้น. สิ่งนี้แม่นยำกว่ากฎ NACL มาก
บรรทัดล่างคือ:
ฉันเชื่อว่าคำตอบจากรอนนั้นถูกต้อง แต่ไม่ตอบคำถามของคุณ
หากคุณมีอินสแตนซ์ในเครือข่ายย่อยหลายรายการ และอินสแตนซ์ของคุณต้องการสื่อสาร NACL ของคุณจะต้องคำนึงถึงสิ่งนี้ด้วยกฎการอนุญาต ฉันยังไม่ได้ทดสอบสิ่งนี้ แต่ฉันทำงานกับ AWS มานานแล้วและฉันค่อนข้างแน่ใจว่านี่เป็นวิธีที่ได้ผล
สิ่งที่น่าสนใจคือกลุ่มความปลอดภัยเป็นไฟร์วอลล์ที่สามารถพิจารณาได้รอบ ๆ อินเตอร์เฟสเครือข่ายแต่ละอัน ดังนั้นหากคุณต้องการให้อินสแตนซ์ในกลุ่มความปลอดภัยสื่อสาร คุณต้องมีกฎเพื่ออนุญาตให้อินสแตนซ์จากกลุ่มความปลอดภัยเข้าถึงตัวมันเอง
คำตอบสำหรับความคิดเห็นในคำถาม:
พอร์ต คุณต้องเปิดพอร์ต 80 / 443 บนกลุ่มความปลอดภัยเว็บเซิร์ฟเวอร์ของคุณเท่านั้น ส่วน 1024 - 65535 เป็นพอร์ตชั่วคราว ซึ่งคุณควรอ่านหากต้องการทำความเข้าใจ เริ่มกับ วิกิพีเดีย แต่จากนั้นไปยังสิ่งที่เข้าใจง่ายขึ้นหากคุณต้องการ
ผู้ตรวจสอบ AWS หน้านี้ กล่าวต่อไปนี้
ตัวแทน Amazon Inspector เริ่มต้นการสื่อสารทั้งหมดกับ Amazon บริการสารวัตร. ซึ่งหมายความว่าตัวแทนต้องมีขาออก เส้นทางเครือข่ายไปยังปลายทางสาธารณะเพื่อให้สามารถส่งข้อมูลทางไกลได้ ตัวอย่างเช่น เอเจนต์อาจเชื่อมต่อกับ arsenal..amazonaws.com หรือปลายทางอาจเป็น Amazon S3 ฝากข้อมูลไว้ที่ s3.dualstack..amazonaws.com ตรวจสอบให้แน่ใจว่าได้เปลี่ยน ด้วยภูมิภาค AWS จริงที่คุณใช้ Amazon สารวัตร. สำหรับข้อมูลเพิ่มเติม โปรดดูที่ช่วงที่อยู่ IP ของ AWS เพราะ การเชื่อมต่อทั้งหมดจากตัวแทนถูกสร้างขึ้นขาออก มันไม่ใช่ จำเป็นต้องเปิดพอร์ตในกลุ่มความปลอดภัยของคุณเพื่ออนุญาตขาเข้า การสื่อสารกับตัวแทนจาก Amazon Inspector
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
