所以我一直在关注一些VPC架构师guide(s),它鼓励我按层次划分子网(而不是简单地划分公共/私有子网)
然后我决定我将拥有以下子网:
现在,我想禁止elb-*子网中的任何内容进入database子网。默认情况下,VPC中的所有内容都可以通过路由表中的本地路由相互访问,并且AWS不允许删除这些路由,这不是我想要的行为。
在上面链接的文章中,有一种方法可以将所有内容拆分为VPC,并将它们与VPC对等连接,因此,在其他限制VPC之间访问的方法中,我不能对它们进行对等。但是这种方法对我来说似乎有点复杂,我希望找到一种不需要我将任何东西分割成VPC的解决方案。
如何实现上述用例?
答案 0 :(得分:2)
网络ACL将满足您的需求。请记住,它们是无状态的,因此您必须允许临时端口。 https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html
最佳实践是使用网络ACL定义哪些子网可以相互通信的粗略规则,然后根据特定服务器的应用程序/角色将安全组用于更细粒度的规则。 https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html
答案 1 :(得分:1)
该指南记录了一个非常“严格”的安全设计。这相当复杂。
如果您的应用程序较小,则可以使用安全组通过仅一个子网(或者您可能更喜欢一个公共子网和一个私有子网)来达到类似的结果。
传统网络只能在子网之间放置防火墙,但是安全组可以在每个单独的资源周围提供防火墙。