根据 AWS 文档,
如果子网与具有到 Internet 网关的路由的路由表关联,则称为公有子网
但是,根据我的理解,子网路由表仅影响来自子网的出站流量,这是正确的吗?入境流量怎么样?
我假设默认情况下通过互联网网关的路由表启用入站流量,但也许我的理解是错误的。我如何检查允许入站流量的假设?像
ping好吧,我觉得我现在更了解全貌了:我们要解决的问题是使某些资源“私有”,即拒绝从 VPC 外部到它们的入站流量,但仍然允许这些私有资源访问互联网,例如更新。
有几种方法可以做到这一点:
不。事情不是这样的。路由表仅根据规则路由(引导)流量。路由表类似于包裹递送中的分布图。每当一个节点需要向网络上的另一个节点发送数据时,它必须首先知道将数据发送到哪里。这就是路由表的作用。为了控制入口 (TO) 和出口 (FROM) 流量,您需要设置安全组和 NACL。这是您需要关注的层。
我仍然要仔细检查:此评论试图解释“路由表不用于流量控制”。然而,我们可以这样说:
设置:我们正在使用一个 VPC,Alice(本地),还有另一个 VPC,Bob,我们尝试连接。
声明:如果 Bob 不在附加到 Alice 的路由表中,无论其他资源/服务(例如安全组等)如何,那么 Alice 都无法将流量引导到 Bob,或者简单地说,无法向 Bob 发送消息。
这种说法是对还是错?如果错了,为什么呢?或者如果我的陈述描述错误,那是什么?
路由表包含一组称为路由的规则,它们确定 来自您的子网或网关的网络流量被定向到哪里。
规则这就是路由表的作用,根据
来路由流量。 表中的每条路线都指定一个目的地和一个目标。就是这样。
您的VPC有一个隐式路由器,您使用路由表来控制 网络流量被定向到的地方。 VPC 中的每个子网都必须是 与路由表相关联,该路由表控制 子网(子网路由表)。您可以显式关联子网 具有特定的路由表。否则,子网是隐式的 与主路由表关联。
继续前进...
子网是 VPC 中的一系列 IP 地址。您可以启动AWS 将资源分配到指定的子网中。使用公共子网获取资源 必须连接到互联网,以及一个专用子网 不会连接到互联网的资源。
允许
入站和出站流量的部分位于子网级别。
为了保护每个子网中的 AWS 资源,您可以使用多层安全措施,包括安全组和网络访问控制列表 (ACL)。来自文档:
默认情况下,每个自定义网络 ACL 拒绝所有入站和出站 流量,直到您添加规则。 VPC 中的每个子网都必须是 与网络 ACL 关联。
换句话说,如果你有子网,就必须有NACL,它支持允许规则和拒绝规则。
NACL 是无状态的,必须
显式地允许其返回流量。 这已在您的 AWS 账户附带的所有默认 VPC 中为您设置。但是,如果您创建自定义 VPC,则需要创建自己的子网、路由表、互联网网关、NACL 和安全组等。