我正在AWS上创建一个新的VPC,我很想知道如何遵循创建网络ACL的最佳实践
e.g。
对于每个az,1a,1b,1c我已经给出了3个子网,一个是公共的,私有的和受限制的。
IP子网部分:
公有子网: az 1a IP:10.31.0.0/22 az 1b IP:10.31.4.0/22 az 1c IP:10.31.8.0/22
私人子网: az 1a IP:10.31.100.0/22 az 1b IP:10.31.104.0/22 az 1c IP:10.31.108.0/22
受限制的子网: az 1a IP:10.31.200.0/22 az 1b IP:10.31.204.0/22 az 1c IP:10.31.208.0/22
在公共子网上:现在 - 隔离是我将拥有处理公共流量的ELB,ELB将在公共子网上,包括Web服务器
在专用网络上:我有应用程序服务器需要通过API调用第三方应用程序然后回复,当然我在这里有一个NAT用于私有网络出站 - 所以这里的目的是这样的app服务器可以打电话给互联网。
在resticted network上:将是仅受专用网络信任的数据库,而不是公有子网。
我的问题是如何配置ACL?我打算为Public提供3种类型的ACL,它与上面的3个公共子网相关联... 所以来源是:入站:0.0.0.0/0允许端口80和443,但我不确定出站?我正在测试所以出站也转到私有ACL子网但不太正常工作...我想实现 - 公共ACL允许端口80和443上的0.0.0.0/0,以及出站转到专用网络,即10.31.100.0 / 22,10.31.104.0/22,10.31.108.0/22和
受限制的ACL作为来自私有子网的入站,仅限于私有网络...
这会有用吗?有什么想法吗?