ACLの概要

アプリケーションのレベル

仮想プライベート・クラウド・サブネット

デフォルトの動作

VPC を作成すると、VPC のデフォルト ACL が allow-all-network-acl-<VPC_ID> のフォーマットで作成されます。 この ACL には、サブネットとの間のすべてのトラフィックを許可するインバウンド・ルールとアウトバウンド・ルールが含まれます。 VPC に作成するサブネットは、デフォルトでこの ACL にアタッチされます。 ACL ルールは、特定の順序で適用されます。 インバウンド・ルールまたはアウトバウンド・ルールを作成して 1 方向のトラフィックを許可する場合、反対方向の応答は自動的に許可されないので、応答用のルールも作成する必要があります。

ユース・ケース

VPC サブネット上のワーカー・ノードに許可されるトラフィックを指定するには、VPC 内のサブネットごとにカスタム ACL を作成します。 例えば、以下の ACL ルール・セットを作成することで、クラスターのほとんどのインバウンド/アウトバウンド・ネットワーク・トラフィックをブロックしつつも、クラスターが機能するために必要な通信は許可することができます。

制限

1 つの VPC 内で同じサブネットを使用する複数のクラスターを作成する場合、それらのクラスターは同じサブネットを共有するため、ACL を使用してクラスター間のトラフィックを制御することはできません。 Calico ネットワーク・ポリシーを使用して、プライベート・ネットワーク上のクラスターを分離することができます。

カスタムACLを作成すると、ACLルールで指定されたネットワーク・トラフィックのみがVPCサブネットとの間で許可されます。 そのサブネットでは、サード・パーティーのサービスとのクラスター統合など、ACL で指定されていない他のトラフィックはすべてブロックされます。