首先感谢能回答这个问题的人。这是我在这里发表的第一篇文章,所以我会尽量说得清楚。
我有一个配置了 2 个 Fargate 任务的 ECS 集群。ECS 设置在分配给私有子网(附加 NAT)的 VPC 中,并且这些任务也有一个公共 IP(我相信情况不应该如此?)
其中一项任务基本上是 API,另一项是网页的前端。
除此之外,我们还有一个面向互联网的 ALB。这被分配给公共子网(带有 IGW)
我决定探索使用 NACLS,但出于某种原因,只有这个规则有效(显然):
入境:
| 规则编号 | 类型 | 协议 | 端口范围 | 来源 | 允许否认 |
|---|---|---|---|---|---|
| 1 | 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 允许 |
出境:
| 规则编号 | 类型 | 协议 | 端口范围 | 目的地 | 允许否认 |
|---|---|---|---|---|---|
| 1 | 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 允许 |
我想为公共和私有子网提供明确的规则。我创建了 2 个 NACL 组以及与它们关联的子网。
对于面向互联网的负载均衡器的公共子网。这是我的规则:
公共 NACL:
入境:
| 规则编号 | 类型 | 协议 | 端口范围 | 来源 | 允许否认 |
|---|---|---|---|---|---|
| 100 | HTTPS | TCP(6) | 第443章 | 0.0.0.0/0 | 允许 |
| 110 | 风俗 | TCP(6) | 1024-65535 | 1x.xx.xx.xx/16 | 允许 |
出境:
| 规则编号 | 类型 | 协议 | 端口范围 | 目的地 | 允许否认 … |
|---|