我是新接触terraform的,为了了解它,我看的比较多。我在阅读[Resource: aws_default_network_acl](https:/www.terraform.iodocsprovidersawsrdefault_network_acl.html)我遇到了这个例子。
resource "aws_default_network_acl" "default" {
default_network_acl_id = aws_vpc.mainvpc.default_network_acl_id
ingress {
protocol = -1
rule_no = 100
action = "allow"
cidr_block = aws_vpc.mainvpc.cidr_block
from_port = 0
to_port = 0
}
}
我想知道的是,为什么你会限制 ingress规则到vpc的cidr范围? 这是否意味着你的IP地址将不得不下降 在cidr块范围内,以获得访问vpc。我的IP地址: 10.19.178.104. VPC的CIDR块:10.19.178.10024。由于我的IP地址在给定的cidr范围内,NACL将接受来自我的IP的流量,我这样说对吗?
有些业务模式不需要出站上网,因此限制NACL只允许入站出站,只允许一个可信的CIDR范围,有助于满足这些要求。
NACL是在子网级别进行约束的,因此可能完全限制私有子网只能与VPC内的资源进行通信。
这只是一个规则,假设他们没有低于100的规则来拒绝特定的流量,那么你的IP将被允许是正确的。