1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 使用NACL和/或SG不是二选一的选择。你可以同时使用两个。
NACL需要更加仔细的配置,以确保你出向时允许的临时范围(以便流量可以返回源),同时也要确保允许从目标到NLB的临时范围。一种方法是在NACL中只允许目标(例如:10.0.0.0/24,所有流量),以此来进行高级的配置,另一个优点是你可以拒绝和允许整个子网受保护(防止管理员启动一个实例不应用特殊安全组)。请注意,在NLB子网和目标子网的NACL都会参与到此过程中。
由于安全组是有状态的,他们会为你处理临时端口。然而,使用SG时你不能拒绝,只能允许。在你的情况下,听起来这样也可以,因为你的人想要只允许特定的IP。在我看来,这不像NACL强大,但相对来说更简单,尤其适合如果他们没有人手动启动实例(手动启动实例有遗漏的风险,如忘记应用特殊的SG)的情况。
一种选择是他可以主要使用安全组来控制流量,并使用网络ACL来阻止特定流量。例如 - 如果他想允许x.x.x.x/24,但x.x.x.30/32是滥用的,他可以在SG中允许/24并在NACL中放置特定的/32 DENY规则(在一般的ALLOW规则之前)。
NACL和SG都有限制:http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Appendix_Limits.html 你需要注意。
关于LCUs - 因为被阻止的流量从来没有到达过NLB,所以不会被记入LCU。
相关内容
- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前