如何为适用于终端节点服务的基于接口的 Amazon VPC 终端节点配置安全和网络 ACL?

上次更新时间:2019 年 4 月 9 日

我想创建基于接口的 Amazon Virtual Private Cloud (Amazon VPC) 终端节点以连接至终端节点服务。如何配置安全组和网络访问控制列表 (ACL)?

简短描述

当您使用 AWS PrivateLink 创建 Amazon VPC 终端节点接口时,系统会在您指定的子网内创建弹性网络接口。此接口 VPC 终端节点(接口终端节点)会继承关联子网的网络 ACL。您必须将安全组与接口终端节点关联以保护传入和传出请求。

在将网络负载均衡器与终端节点服务关联后,网络负载均衡器会将请求转发到已注册的目标,如同目标是通过 IP 地址注册的一样。在这种情况下,源 IP 地址是负载均衡器节点的私有 IP 地址。如果您有权访问 Amazon VPC 终端节点服务,则必须验证安全组规则以及与网络负载均衡器目标关联的网络 ACL 内的规则:

  • 允许通过网络负载均衡器的私有 IP 地址进行通信
  • 不允许通过客户端或接口终端节点的 IP 地址进行通信

要允许客户端与 Amazon VPC 终端节点进行通信,您必须在与客户端子网关联的网络 ACL 内以及与接口终端节点关联的子网内创建规则

解决方法

找到与接口终端节点关联的网络 ACL

  1. 登录 Amazon VPC 控制台
  2. 选择终端节点
  3. 从列表中选择您的终端节点 ID。
  4. 选择子网视图。
  5. 选择关联的子网,而后您会重定向到 Amazon VPC 控制台的子网部分。
  6. 记下与子网关联的网络 ACL。

找到与接口终端节点关联的安全组

  1. 登录 Amazon VPC 控制台
  2. 选择终端节点
  3. 从终端节点列表中选择您的终端节点 ID。
  4. 选择安全组视图。
  5. 记下关联安全组的 ID。

配置与客户端的接口终端节点关联的安全组

注意:安全组是有状态的。当您在一个方向定义规则时,系统会自动允许返回流量。

配置入站规则:

  • 对于端口范围,请输入与终端节点服务相同的端口号。
  • 对于,请输入启动客户端的 IP 地址或网络。

注意:您无需在与接口终端节点关联的安全组的出站方向创建规则。

针对每个与接口终端节点关联的安全组重复上述步骤。

配置与接口终端节点关联的网络 ACL

对于您之前记录的网络 ACL,编辑这些规则

配置入站规则以允许来自客户端的流量:

  • 对于端口范围,请输入与终端节点服务相同的端口号。
  • 对于,请输入客户端的 IP 地址。

配置出站规则以允许来自接口终端节点的返回流量:

  • 对于端口范围,请输入 1024-65535
  • 对于目标,请输入客户端的 IP 地址或网络。

注意:在配置与客户端关联的安全组和网络 ACL 时,请确认出站规则允许连接到终端节点接口的私有 IP。客户端安全组的入站方向无关紧要。但是,客户端的网络 ACL 的入站方向必须允许 TCP 临时范围 1024-65535。源 IP 地址是 Amazon VPC 终端节点接口的 IP 地址,因为它是返回流量的源。