sou*_*ver 3 networking amazon-web-services amazon-vpc
我目前正在 Amazon VPC 上设置多个子网。例如,我有一个用于数据库服务器的子网,一个用于网络服务器,一个用于负载平衡器。我尽量限制对这些子网的访问。现在,我们使用相同的规则集创建 ACL 和安全组,并将它们分配给子网/实例。
只使用其中之一可以吗?您更喜欢使用哪个?或者我是否错过了需要创建和维护这两者的东西?
没有什么需要这两者,但只要您已经在创建两者,您不妨继续这样做,以支持“深度防御”哲学。安全组更像是 iptables 规则(Xen 主机网络堆栈中的软件防火墙),而网络 ACL 位于网络层,因此,被它们阻止的流量在较低级别完成,进一步与您的 VPS 隔离。