使用NACL阻止流量

Question

我在EC2实例上有一个应用程序，它连接到一个网站(github.com)来下载应用程序存储库(比方说一周三次，或者更频繁)。

我喜欢使用NACL阻止对我的VPC的访问；因此，除了这个网站github.com (请注意NACL是无状态的)之外，没有其他流量可以通过。

我面临的问题是，我不能白名单使用NACL的网站；因为基于IP的方法是不可行的(IP的总是在变化)。有人能提出更好的解决方案或解决办法，我们可以在这里应用。

Answer 1

NACL无法解析DNS，因为这需要具有HTTP协议详细信息的OSI层。

您可以在这里做的一种选择是将EC2实例放在NAT网关后面，从而有效地将其放置在私有子网中，并将其转换为在面对公共internet (如弹性IP )时不会改变的IP。这样，您将能够在引用一致的IP地址时保护您的EC2实例。

另一种选择是使用ssh-keygen生成一个公钥和私钥对，然后将其复制到相应的git (SSH密钥)，然后在建立该一对一信任之后阻止任何其他协议和通信。更安全的版本将在本文中很好地解决：EC2 can't SSH into github