AWS vpc 从 public 子网访问互联网
AWS vpc access the Internet from public subnet
我在我的 VPC 上配置了 public 子网并添加了一些安全组和 NACL 角色...我注意到当我在 NACL 上设置入站部分中的这些角色时:
100 SSH (22) TCP (6) 22 0.0.0.0/0 ALLOW
200 HTTP (80) TCP (6) 80 0.0.0.0/0 ALLOW
300 HTTPS (443) TCP (6) 4430.0.0.0/0 ALLOW
我无法访问互联网!!! :(
除非我在入站部分添加了这个角色:
400 ALLTraffic ALL ALL 0.0.0.0/0 允许
(添加此角色后,我成功通过 运行 "yum update" 访问互联网...)
真的有必要还是我配置错了?
- 安全组是 有状态的 并自动允许 return 流量。
- 网络 ACL 无状态,需要您提供入站规则。
这就是添加 400 ALLOW 网络 ACL 规则后可以访问互联网的原因。
根据您的要求,您可能根本不需要网络 ACL,而只依赖安全组。
--
AWS VPC 安全组和网络 ACL 具有不同但互补的行为。
本文档详细描述了差异。
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html#VPC_Security_Comparison
我在我的 VPC 上配置了 public 子网并添加了一些安全组和 NACL 角色...我注意到当我在 NACL 上设置入站部分中的这些角色时:
100 SSH (22) TCP (6) 22 0.0.0.0/0 ALLOW
200 HTTP (80) TCP (6) 80 0.0.0.0/0 ALLOW
300 HTTPS (443) TCP (6) 4430.0.0.0/0 ALLOW
我无法访问互联网!!! :(
除非我在入站部分添加了这个角色: 400 ALLTraffic ALL ALL 0.0.0.0/0 允许
(添加此角色后,我成功通过 运行 "yum update" 访问互联网...)
真的有必要还是我配置错了?
- 安全组是 有状态的 并自动允许 return 流量。
- 网络 ACL 无状态,需要您提供入站规则。
这就是添加 400 ALLOW 网络 ACL 规则后可以访问互联网的原因。
根据您的要求,您可能根本不需要网络 ACL,而只依赖安全组。
--
AWS VPC 安全组和网络 ACL 具有不同但互补的行为。
本文档详细描述了差异。
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html#VPC_Security_Comparison