在亚马逊网络服务私有子网EC2中使用yum

Question

我正在尝试使用内网实例中的yum来使用NAT网关

因此，我的VPC设置如下。VPC Setting

我将我的私有子网安全组设置如下Private Subnet Security Group Setting

我将我的私有子网ACL设置如下：Private Subnet ACL Setting

我在ACL中打开了TCP端口，但是在没有ssh的安全组中我没有打开任何端口，但是我可以在私有子网实例中使用yum

我想知道为什么可以在内网实例中使用yum？

Answer 1

您为安全组设置的规则为入站。Linux命令yum建立“出站”连接。“入站”规则对“出站”连接无效。

AWS安全组是“聪明的”。这意味着当建立连接(入站或出站)时，返回端口将自动打开。即使您的入站安全组中没有打开任何端口，出站连接仍然会成功。

网络ACL有所不同。他们是“哑巴”。这意味着必须为出站连接打开入站端口。在您的示例中，您打开了端口1024 - 65535，这允许出站连接成功。如果关闭这些端口，yum将停止工作。

注意: 1024以下的端口是保留端口，需要“特权”。对于正常的出站连接，返回端口将高于1024。