为什么我 VPC 中的子网网络 ACL 不允许流量通过中转网关?
上次更新时间:2021 年 2 月 9 日
我的目标 Amazon Elastic Compute Cloud (Amazon EC2) 实例的子网网络访问控制列表 (ACL) 允许入站 SSH 流量,但流量仍然被阻止。为什么我 Virtual Private Cloud (VPC) 中的子网网络 ACL 不允许流量通过中转网关?
解决方法
当您创建中转网关附件并关联 VPC 中的子网时,将在该子网中创建一个中转网关接口。此中转网关接口会将流量从 Amazon EC2 实例的弹性网络接口路由到中转网关。Amazon EC2 实例的弹性网络接口和中转网关可能位于同一子网中。但在配置网络 ACL 时,必须将它们视为单独的实体。
- 在与目标 VPC 的中转网关接口关联的网络 ACL 中,添加入站规则以允许自定义 TCP 通过临时端口。配置此规则后,系统将会允许临时端口上的返回流量。
- 检查中转网关网络接口上的 VPC 流日志,确认流量是否符合预期。
根据 Amazon EC2 和中转网关是位于同一子网还是在不同的子网中,网络 ACL 入站和出站规则的应用将会不同。有关更多信息,请参阅网络 ACL 如何与中转网关配合使用。