安全组规则是否覆盖VPC内的NACL?
安全组规则是否覆盖VPC内的NACL?
提问于 2020-07-08 21:14:29
我正在尝试建立一个有3台服务器的VPC,并启用VPC内的所有流量和到外部特定IP地址的所有流量-工作站。我还想阻止任何其他流量。我无法理解VPC中的安全逻辑:如果我在ACL级别上阻止所有流量,而在安全组级别上只允许我想要的流量-它会起作用吗?基本上,我想了解的是如何管理子网外的带外流量?
回答 1
Stack Overflow用户
发布于 2020-07-08 21:27:27
这两个服务协同工作,它们不会作为OR条件。
安全组
安全组在主机级别进行评估,默认情况下,除非明确允许,否则所有流量都会被阻止。通过弹性网卡的任何交互都会根据安全组进行评估。
NACL
另一方面,NACL在子网级别进行评估。流量在进入(或离开)子网时进行评估。事实上,如果两个实例位于同一子网中并且私下通信,那么NACL永远不会被评估。
NACL的规则按照从最小编号到最大编号的顺序进行评估,同时支持DENY和ALLOW。
如果您在NACL级别阻止所有流量,则仅支持同一子网中具有与安全组中的入站/出站规则匹配的实例之间的通信。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/62795669
复制相关文章
相似问题
腾讯云开发者
