[AWS] ACL of private subnet(with nat gateway)

private subnet에서 outbound형식으로 인터넷에 연결하려면 nat instance나 nat gateway를 사용해야합니다.

nat gateway는 aws에서 제공하는 유료 서비스인데요. 

오늘은 Private subnet에서 nat gateway를 고려한 ACL inbound/outbound 정책을 보도록 하겠습니다.

 

 

stateless 통신의 응답은 보통 휘발성 포트(1024 - 65535)로 옵니다. 그리고 yum/git들은 http(80) or https(443)포트로 요청합니다.

위 말을 정책화 하면 아래와 같습니다.

#outbound
http(80) 허용
https(443) 허용

#inbound
tcp(1024-65535) 허용

 

 

여기서 주의할것은 요청관련 정책가 꼭 inbound는 아니라는 것이에요. 

서버가 요청할때는 outbound가 요청 관련 정책이 되고, inbound는 응답 관련 정책이 되요.

그러니 요청  트레픽관리는 outbound에서, 응답 트레픽 관리는 inbound정책에서 해야해요. 

 

 

다른분들은 저처럼 고생하지 않으셨으면 좋겠네요.

감사합니다