เมื่อสร้างไฟล์แนบ VPC ใน TGW ขั้นตอนหนึ่งคือ:

For Subnet IDs, select one subnet for each Availability Zone to be used by the transit gateway to route traffic. You must select at least one subnet. You can select only one subnet per Availability Zone.

AWS เลือกเครือข่ายย่อยแบบสุ่ม 3 เครือข่ายโดยอัตโนมัติ (เช่น DMZ-A+ APP-B+ DATA-C)

ฉันมักจะเปลี่ยนไปเลือก: APP-A + APP-B + APP-C

มีคำแนะนำอะไรไหม? ปฏิบัติที่ดีที่สุด ?

การใช้ซับเน็ตประเภทต่างๆ (dmz และ/หรือแอปและ/หรือข้อมูล) ดูเหมือนจะเป็นทางเลือกที่แย่ที่สุด

answer

แนวทางปฏิบัติที่ดีที่สุดของ AWSคือการสร้างซับเน็ตแยกกันในแต่ละ AZ สำหรับสิ่งที่แนบมากับเกตเวย์การขนส่ง

Use a separate subnet for each transit gateway VPC attachment. For each subnet, use a small CIDR, for example /28, so that you have more addresses for EC2 resources. When you use a separate subnet, you can configure the following:

  • Keep the inbound and outbound NACL associated with the transit gateway subnets open.

  • Depending on your traffic flow, you can apply NACLs to your workload subnets.

ฉันสามารถบอกคุณได้จากประสบการณ์ว่าถ้าคุณไม่ทำการกำหนดเส้นทางนี้และ NACLs สามารถเที่ยวยุ่งยิ่งและทำงานในแบบที่คุณไม่ได้คาดหวัง ตัวอย่างเช่นจากที่นี่ :

NACL rules are applied in the following way for traffic from individual EC2 instances to the transit gateway:

  • Outbound rules use the destination IP address for evaluation.
  • Inbound rules use the source IP address for evaluation.