我目前在Amazon VPC上设置了几个子网。 例如,我有一个数据库服务器的子网,一个用于web服务器,另一个用于负载均衡器。 我尽量限制对这些子网的访问。 现在我们使用相同的一组规则创buildACL和安全组,并将它们分配给子网/实例。
使用其中之一可以吗? 你喜欢用哪一个? 或者我错过了一些需要创build和维护这两者的东西?
没有什么需要这两个,但只要你已经创造了两个,你也可以继续这样做,以支持“纵深防御”的哲学。 安全组更像iptables规则(Xen主机的networking堆栈中的软件防火墙),而networkingACL位于networking层,因此被阻止的stream量在较低的级别完成,与VPS进一步隔离。