ความแตกต่างระหว่างเครือข่ายสาธารณะและส่วนตัวใน Amazon VPC คืออะไร?

29

เมื่อฉันเปิดตัวเซิร์ฟเวอร์ที่มีกลุ่มความปลอดภัยที่อนุญาตให้ทราฟฟิกทั้งหมดเข้าสู่ซับเน็ตส่วนตัวของฉันมันจะแสดงคำเตือนว่ามันอาจเปิดให้โลกได้เห็น

ถ้าเป็น subnet ส่วนตัวมันจะเป็นไปได้อย่างไร?

networking amazon-web-services amazon-vpc

— Developr
แหล่งที่มา

4

หมายความว่าหากคุณต้องการเพิ่ม EIP ลงในอินสแตนซ์และเส้นทางเริ่มต้นเป็น IGW ก็จะสามารถเข้าถึงได้จากทั่วโลก SG จะไม่ปิดกั้นการเข้าถึง

— Mark Wagner

29

ความแตกต่างที่สำคัญคือเส้นทางสำหรับ 0.0.0.0/0 ในตารางเส้นทางที่เกี่ยวข้อง

ซับเน็ตส่วนตัวตั้งค่าเส้นทางนั้นไปยังอินสแตนซ์ NAT อินสแตนซ์ของซับเน็ตส่วนตัวต้องการเฉพาะ IP ส่วนตัวและปริมาณการใช้อินเทอร์เน็ตถูกส่งผ่าน NAT ในซับเน็ตสาธารณะ คุณอาจไม่มีเส้นทางไปที่ 0.0.0.0/0 เพื่อให้เป็นซับเน็ตส่วนตัวอย่างแท้จริงโดยไม่มีอินเทอร์เน็ตเข้าหรือออก

ซับเน็ตสาธารณะกำหนดเส้นทาง 0.0.0.0/0 ผ่านทางอินเทอร์เน็ตเกตเวย์ (igw) อินสแตนซ์ในเครือข่ายสาธารณะต้องใช้ IP สาธารณะเพื่อพูดคุยกับอินเทอร์เน็ต

คำเตือนปรากฏขึ้นแม้สำหรับเครือข่ายย่อยส่วนตัว แต่สามารถเข้าถึงอินสแตนซ์ภายใน vpc ของคุณ

— เจสันฟลอยด์
แหล่งที่มา

อะไรที่ทำให้อินสแตนซ์นั้นสามารถเข้าถึงได้ภายใน vpc ของคุณเท่านั้น ถ้าฉันใส่อินสแตนซ์ในซับเน็ตส่วนตัวการหยุดการรับส่งข้อมูลจากภายนอก vpc คืออะไร ผมเห็นว่าเป็นค่าเริ่มต้น ACL เครือข่าย VPC อนุญาตให้เข้าชมทั้งหมด

— committedandroider

1

@committedandroider - ทราฟฟิกภายนอกสามารถเข้าถึงอินสแตนซ์เท่านั้นหาก: มีการกำหนด IP สาธารณะมันอยู่บนซับเน็ตที่มีเส้นทางเริ่มต้นสำหรับ 0.0.0.0/0 ชี้ไปที่เกตเวย์อินเทอร์เน็ต (อาคา 'ซับเน็ตสาธารณะ') ความปลอดภัยที่กำหนด group อนุญาตให้ทราฟฟิกขาเข้าบนพอร์ตที่ระบุจาก 0.0.0.0/0 และหาก ACL เครือข่ายอนุญาตให้ใช้ ip / พอร์ต หากตั้งค่าใด ๆ เหล่านี้ไม่ถูกต้องการรับส่งข้อมูลสาธารณะจะไม่ถึงอินสแตนซ์

— Jason Floyd

4

ตามที่บันทึกไว้ที่นี่

Public SUBNETหากทราฟฟิกของ subnet ถูกกำหนดเส้นทางไปยังอินเทอร์เน็ตเกตเวย์ subnet จะถูกเรียกว่า subnet สาธารณะ ไพรเวต SUBNETหากซับเน็ตไม่มีเส้นทางไปยังอินเทอร์เน็ตเกตเวย์ซับเน็ตจะถูกเรียกว่าซับเน็ตส่วนตัว

— Miguel Carvajal
แหล่งที่มา