AWS、SOA取得にむけて勉強していて、VPCフローログの問題でこれどういう意味?ってなったので備忘として残しておきます。(あくまで私の解釈なので間違ってたら教えてください。)
##問題
サーバからEC2にpingを投げましたが、サーバ側でICMPが応答しませんでした。VPCフローログ見せてやるから理由教えろや的な問題。
VPCフローログは簡易的に記載します。Aはサーバー、BはEC2。
①A→B ACCEPT OK
②B→A ACCEPT OK
③B→A REJECT OK
答えはネットワークACL(以下NACL)のアウトバウンド拒否です。
##考察
私の最初の解釈。
①サーバからEC2にpingはいってますね
②最初の返却だからSGからアウトバウンドOKだね
③次の返却はNACLだからVPCはアウトバウンドNGだね
と思ったのだけどたまたまこの問題は②と③の順なだけで、ここは実際のVPCフローログだ順不同っぽいです。そうなるとこの答えの導き方は成立しなくなります。
ここで必要な情報になるのが、ステートフル/ステートレスの考え方。SGではステートフル、NACLではステートレスです。なのでこの問題の場合、REJECTを返却するのはNACLだけという考え方になるそうです。
ステートフル(SG):戻りのトラフィックは全許可
ステートレス(NACL):戻りのトラフィックは明示的に許可が必要
##図解
パワポ作るの楽しい。