NACL
- NACL = 서브넷으로 가는 트래픽을 컨트롤 (방화벽 역할)
- 서브넷마다 1개의 NACL을 가짐, 새로운 서브넷에는 기본 NACL이 할당됨
- NACL 규칙
- 역할은 숫자가있고, 숫자가 작을수록 우선순위가 높음
- 첫번째 규칙(숫자) 비교로 결정됨.
- ALLOW(100), DENY(200)일땐 ALLOW이 이김
- 일치하는 규칙이 없으면 모든 요청이 거부됨
- 서브넷에서 특정 IP주소를 차단하는데 적합
NACL 기본
- 연결된 서브넷에서 인바운드/아웃바운드 모든 요청을 허용
- 수정안하는게 낫다
임시포트 (Ephemeral Ports)
- 2개의 엔드포인트를 연결하려면 포트 사용해야함
- 서버에게 응답하기 위해 클라이언트는 임시 포트를 잠시 개방함 ⇒ 소스 포트
- 윈도우 : 49152-65535
- 리눅스 : 32768-60999
NACL과 임시포트
- 웹과 DB를 연결하려면?
- 웹티어 NACL:
- 아웃바운드를 DB 서브넷 CIDR로 포트 3306으로 열어줘야함
- DB NACL:
- 클라이언트로 응답회신할때 임시포트로 아웃바운드 열어줘야함.
- 웹티어 NACL:
NACL에 서브넷 추가시
- NACL 규칙도 업데이트해서 연결 조합이 가능한지 확인
보안그룹 vs NACL 차이점
- 보안그룹 :
- 인스턴스 수준에서 작동
- 허용 규칙만 지원
- 상태 유지, 규칙과 무관하게 트래픽 허용
- 모든 규칙이 평가됨
- NACL :
- 서브넷 수준에서 작동
- 허용/거부 모두 지원
- 무상태, 인바운드/아웃바운드 규칙이 매번 바뀜?(평가됨)
- 가장 높은 우선순위인 규칙이 먼저 평가됨
- 서브넷에 있는 모든 인스턴스에 규칙이 적용됨
'DevOps > AWS' 카테고리의 다른 글
| [AWS SAA] Direct Connect란? 키워드 간단 정리 (0) | 2025.02.12 |
|---|---|
| [AWS SAA] VPC 엔드포인트란? 키워드 간단 정리 (0) | 2025.02.12 |
| [AWS SAA] Amazon DataSync란? 키워드 간단 정리 (0) | 2025.02.12 |
| [AWS SAA] Amazon FSx란? 키워드 간단 정리 (0) | 2025.02.11 |
| [AWS SAA] Storage Gateway란? 간단 키워드 정리 (0) | 2025.02.11 |
