我们正在 AWS 中实施一个自定义 Web 应用程序,我们希望该应用程序设计精良、可靠且安全,同时保持在有限的预算范围内。理想情况下,我们实现的架构将为我们未来的构建和发展提供坚实的基础,或者至少为我们提供一些未来可以发展的架构的经验。
主要注意事项:
下面是我们想法的简化图。我们将不胜感激您提供的任何反馈,尤其是围绕这些问题的反馈。
很高兴回答问题。预先感谢您的帮助!
mb87
网络防火墙目前没有 NAT 选项。它将需要依赖 EC2 自己的映射公共 IP 或 NAT 网关来促进互联网绑定通信
网络防火墙上的“TLS 检查”(不是“卸载”)是一项可选功能,预计在您托管 TLS 服务时使用。例如:您正在托管一个 Web 应用程序,并且证书(和私钥)已添加到 ACM。对于出口访问,您可以执行类似的检查,但您需要将私有 CA 添加到 ACM,然后您的 EC2 也需要信任此 CA。如果不是严格要求,我建议避免这种情况并坚持基于域/SNI 的规则。
您可以将其设置为简单的平面设置,其中入口/出口流程如下:
客户端访问: 客户端 –[Internet]--> IGW > 网络防火墙 > NLB > 目标 [EC2]
来自 EC2 的 API 调用: EC2 > NAT GW > 网络防火墙 > IGW >--[Internet]--> 服务器
您需要有各自的规则来涵盖双向流。
设置将如 AWS 文档中所示,并且其中解释了其中一项部署链接