在TGW中创建VPC连接时,其中一步是:
对于子网 ID,为每个可用区选择一个子网,以供中转网关用于路由流量。您必须至少选择一个子网。每个可用区只能选择一个子网。
AWS 自动选择 3 个随机子网(如 DMZ-A + APP-B + DATA-C)
我总是更改为选择:APP-A + APP-B + APP-C
有什么建议吗?最佳实践?
使用不同的子网类型(dmz 和/或应用程序和/或数据)似乎是最糟糕的选择。
答案1
AWS 最佳实践是在每个 AZ 中为传输网关附件创建一个单独的子网。
为每个中转网关 VPC 连接使用单独的子网。对于每个子网,使用较小的 CIDR(例如 /28),以便您拥有更多 EC2 资源地址。使用单独的子网时,您可以配置以下内容:
保持与传输网关子网关联的入站和出站 NACL 保持打开。
根据您的流量,您可以将 NACL 应用于您的工作负载子网。
我可以根据经验告诉你,如果你不这样做,路由和 NACL 可能会变得繁琐,并以你意想不到的方式工作。例如这里:
NACL 规则以以下方式应用于从单个 EC2 实例到传输网关的流量:
- 出站规则使用目标 IP 地址进行评估。
- 入站规则使用源 IP 地址进行评估。