Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
在为端点服务创建 Amazon VPC 接口端点时,如何配置安全组和网络 ACL?
在创建用于连接端点服务的 Amazon Virtual Private Cloud (Amazon VPC) 接口端点时,我想配置安全组和网络访问控制列表(网络 ACL)。
解决方法
当您通过端点服务创建 Amazon VPC 接口端点时,Amazon VPC 会在您指定的子网中创建一个弹性网络接口。接口端点会接收关联子网的网络 ACL。您还必须为接口端点关联一个安全组以控制入站流量。
当您将网络负载均衡器与端点服务关联时,网络负载均衡器会将请求转发到已注册目标。网络负载均衡器转发请求的方式与 IP 地址注册目标的方式相同。在这种情况下,源 IP 地址是负载均衡器节点的私有 IP 地址。
如果您有权访问 Amazon VPC 端点服务,请验证以下配置:
- 网络负载均衡器目标的入站安全组规则允许来自网络负载均衡器节点私有 IP 地址的流量。有关详细信息,请参阅注意事项。
- 网络负载均衡器目标的网络 ACL 规则允许来自网络负载均衡器节点私有 IP 地址的流量。
查找与接口端点关联的网络 ACL
完成以下步骤:
- 打开 Amazon VPC 控制台。
- 选择 Endpoints(端点),然后选择您的端点 ID。
- 选择 Subnets(子网)视图。
- 选择关联的子网。
- 在 Subnets(子网)部分,记下与子网关联的网络 ACL。
查找与接口端点关联的安全组
完成以下步骤:
- 打开 Amazon VPC 控制台。
- 选择 Endpoints(端点),然后选择您的端点 ID。
- 选择 Security Groups(安全组)视图。
- 记下关联安全组的 ID。
更新与网络负载均衡器关联的安全组
您可以控制 AWS PrivateLink 流量是否受入站规则约束。如果对 PrivateLink 流量启用入站规则,则流量的源为客户端的私有 IP 地址,而非端点接口。
如果不想对 PrivateLink 发送到负载均衡器的流量使用入站规则,请配置负载均衡器。有关更多信息,请参阅更新网络负载均衡器的安全组。
配置与接口端点关联的安全组
**注意:**安全组是有状态的。当您在一个方向定义规则时,会自动允许另一个方向的流量。
配置入站规则时,请为 Port Range(端口范围)输入与端点服务相同的端口。对于 Source(源),输入启动客户端的 IP 地址或网络。
**注意:**您无需在与接口端点关联的安全组中创建出站规则。
对与接口端点关联的每个安全组重复这些步骤。
配置与接口端点关联的网络 ACL
**注意:**网络 ACL 是无状态的。您必须同时为出站和入站流量定义规则。
完成以下步骤:
- 向网络 ACL 添加规则。
- 对于入站规则,请使用以下配置允许来自客户端的流量:
对于 Port Range(端口范围),输入与端点服务相同的端口。
对于 Source(源),输入客户端的 IP 地址或网络。 - 对于出站规则,请使用以下配置允许从接口端点返回的流量:
对于 Port Range(端口范围),输入 1024-65535。
对于 Destination(目标),输入客户端的 IP 地址或网络。
如果您为每个子网指定了不同的网络 ACL,请对与接口端点关联的每个网络 ACL 重复上述步骤。
**注意:**配置源客户端的安全组时,请验证出站规则是否允许连接到接口端点的私有 IP 地址。您无需验证客户端安全组的入站规则。对于源客户端的网络 ACL,请使用以下配置:
- 对于入站规则,请为 Port Range(端口范围)输入临时端口范围 1024-65535。对于 Source(源),输入接口端点的私有 IP 地址。
- 对于出站规则,输入与端口范围的端点服务相同的端口。对于 Destination(目标),输入接口端点的私有 IP 地址。
相关信息
- 语言
- 中文 (简体)
