在Amazon VPC中,VPC创build向导允许创build单个“公有子网”或使向导创build“公有子网”和“私有子网”。 最初,由于安全原因,公有和私有子网选项似乎很好,允许将Web服务器置于公有子网和数据库服务器中,以进入私有子网。
但是我知道,除非您将Amazon ElasticIP与EC2实例相关联,否则无法从Internet访问公有子网中的EC2实例。 所以看起来只有一个公共子网configuration,人们可以select不将ElasticIP与数据库服务器相关联,并最终获得相同的安全性。
任何人都可以解释一个公共+私人子网configuration的优势? 这个configuration的优点更多的是与自动缩放有关,还是只有一个公有子网的安全性较差?
拥有一个私有子网的安全边界可以通过公有子网中的不同安全组进行控制。 如果公有子网中的某个实例被黑客入侵,那么如果您在访问策略中不太自由,那么在私有子网中的实例将更加难以入侵。
除了安全隐患之外,还有另外一个方面:如果您希望允许没有弹性IP的实例访问Internet,则可能需要2个(或更多)不同的子网。
在VPC中解释AWS文档有三种允许实例访问互联网的方法:
第三个选项是有趣的,NAT实例必须位于一个“公共”子网中,所有出站stream量都被路由到一个Internet网关,但所有其他实例都必须位于一个“私有”子网中,所有出站stream量都是路由到NAT实例。
总之,如果你打算使用NAT,你至less需要2个子网。