В чем разница между общедоступной и частной подсетями в Amazon VPC?

29

Когда я запускаю сервер с группой безопасности, которая пропускает весь трафик в мою частную подсеть, он отображает предупреждение о том, что он может быть открыт для всего мира.

Если это частная подсеть, как это может быть?

networking  amazon-web-services  amazon-vpc 
Developr
источник
4
Это означает, что если бы вы добавили EIP к экземпляру, а маршрут по умолчанию был IGW, он был бы доступен из мира. SG не будет блокировать доступ.
Марк Вагнер

Ответы:

29

Основным отличием является маршрут для 0.0.0.0/0 в соответствующей таблице маршрутов.

Частная подсеть устанавливает этот маршрут к экземпляру NAT. Экземплярам частной подсети нужен только частный ip, а интернет-трафик направляется через NAT в публичной подсети. У вас также может не быть маршрута к 0.0.0.0/0, чтобы сделать его по-настоящему частной подсетью без доступа к Интернету.

Общедоступная подсеть направляет 0.0.0.0/0 через интернет-шлюз (igw). Экземпляры в общедоступной подсети требуют общедоступных IP-адресов для связи с Интернетом.

Предупреждение появляется даже для частных подсетей, но экземпляр доступен только внутри вашего vpc.

Джейсон Флойд
источник
что делает этот экземпляр доступным только внутри вашего vpc? если я помещаю экземпляр в частную подсеть, что мешает трафику извне vpc добраться до него. Я видел , что по умолчанию VPC сеть позволяет ACL всего трафика
committedandroider
1
@committedandroider - внешний трафик может достигать экземпляра только в том случае, если: ему назначен публичный IP-адрес, он находится в подсети с маршрутом по умолчанию для 0.0.0.0/0, указывающим на интернет-шлюз (он же «публичная подсеть»), назначенную защиту group разрешает входящий трафик на указанный порт с 0.0.0.0/0, а сетевые ACL разрешают ip / port. Если ЛЮБОЙ из них не установлен правильно, общедоступный трафик не достигнет экземпляра.
Джейсон Флойд
4

Как задокументировано здесь

ОБЩЕСТВЕННАЯ ПОДСЕТЬ Если трафик подсети направляется на интернет-шлюз, подсеть называется общедоступной подсетью. ЧАСТНАЯ подсЕТЬ Если в подсети нет маршрута к интернет-шлюзу, подсеть называется частной подсетью.

Мигель Карвахаль
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.