Jaka jest różnica między podsiecią publiczną i prywatną w Amazon VPC?

29

Kiedy uruchamiam serwer z grupą zabezpieczeń, która zezwala na cały ruch do mojej prywatnej podsieci, wyświetla ostrzeżenie, że może być otwarty na świat.

Jeśli jest to prywatna podsieć, jak to możliwe?

Deweloper
źródło
4
Oznacza to, że jeśli dodasz EIP do instancji, a domyślną trasą będzie IGW, będzie on dostępny ze świata. SG nie zablokuje dostępu.
Mark Wagner,

Odpowiedzi:

29

Główną różnicą jest trasa dla 0.0.0.0/0 w powiązanej tabeli tras.

Podsieć prywatna ustawia tę trasę do instancji NAT. Instancje prywatnej podsieci potrzebują tylko prywatnego adresu IP, a ruch internetowy jest kierowany przez NAT w publicznej podsieci. Możesz również nie mieć trasy do 0.0.0.0/0, aby uczynić z niej prawdziwie prywatną podsieć bez dostępu do Internetu.

Podsieć publiczna kieruje 0.0.0.0/0 przez bramę internetową (igw). Instancje w publicznej podsieci wymagają publicznych adresów IP do komunikowania się z Internetem.

Ostrzeżenie pojawia się nawet w przypadku prywatnych podsieci, ale instancja jest dostępna tylko w vpc.

Jason Floyd
źródło
co sprawia, że ​​instancja jest dostępna tylko w twoim komputerze? jeśli wstawię instancję do prywatnej podsieci, co powstrzyma ruch spoza vpc, aby do niej dotrzeć. Widziałem, że domyślnie ACL sieć VPC zezwala na cały ruch
committedandroider
1
@committedandroider - ruch zewnętrzny może dotrzeć do instancji tylko wtedy, gdy: ma przypisany publiczny adres IP, znajduje się w podsieci z domyślną trasą dla 0.0.0.0/0 skierowaną na bramę internetową (inaczej „publiczna podsieć”), przypisane zabezpieczenia grupa zezwala na ruch przychodzący na określonym porcie od 0.0.0.0/0, a jeśli sieciowe listy ACL zezwalają na port ip /. Jeśli ŻADEN z nich nie zostanie ustawiony poprawnie, ruch publiczny nie osiągnie instancji.
Jason Floyd
4

Jak tu udokumentowano

PODSIĄŻKA PUBLICZNA Jeśli ruch podsieci jest kierowany do bramy internetowej, podsieć jest znana jako podsieć publiczna. PRYWATNA PODSIECI Jeśli podsieć nie ma trasy do bramy internetowej, podsieć jest znana jako prywatna podsieć.

Miguel Carvajal
źródło