Visão geral das ACLs

Nível de aplicação

Sub-rede de Cloud Privada Virtual

Comportamento padrão

Ao criar uma VPC, uma ACL padrão é criada no formato allow-all-network-acl-<VPC_ID> para a VPC. A ACL inclui uma regra de entrada e uma regra de saída que permitem todo o tráfego para e de suas sub-redes. Qualquer sub-rede que você criar na VPC é conectada a essa ACL por padrão. As regras de ACL são aplicadas em uma ordem específica. Ao permitir o tráfego em uma direção criando uma regra de entrada ou de saída, deve-se também criar uma regra para respostas na direção oposta porque as respostas não são permitidas automaticamente.

Caso de uso

Se você desejar especificar qual tráfego é permitido para os nós do trabalhador em suas sub-redes VPC, será possível criar uma ACL customizada para cada sub-rede no VPC. Por exemplo, é possível criar o seguinte conjunto de regras ACL para bloquear a maioria do tráfego de rede de ingresso e de egresso de um cluster, enquanto permite a comunicação que é necessária para que o cluster funcione.

Limitações

Se forem criados vários clusters que usam as mesmas sub-redes em uma VPC, você não poderá usar ACLs para controlar o tráfego entre os clusters porque eles compartilham as mesmas sub-redes. É possível usar Políticas de rede Calico para isolar seus clusters na rede privada.

Se você criar ACLs personalizadas, somente o tráfego de rede especificado nas regras da ACL será permitido de e para as sub-redes da VPC. Todo o outro tráfego que não está especificado nas ACLs está bloqueado para as sub-redes, como integrações de cluster com serviços de terceiros.