В Amazon VPC мастер создания VPC позволяет создать единую «общедоступную подсеть» или же мастер может создать «общедоступную подсеть» и «частную подсеть». Первоначально вариант публичной и частной подсетей казался хорошим по соображениям безопасности, позволяя размещать веб-серверы в общедоступной подсети, а серверы баз данных переходить в частную подсеть.
Но с тех пор я узнал, что экземпляры EC2 в общедоступной подсети недоступны из Интернета, если вы не связываете Amazon ElasticIP с экземпляром EC2. Таким образом, кажется, что только с одной общедоступной конфигурацией подсети можно было бы просто не связывать ElasticIP с серверами баз данных и в конечном итоге обеспечить такой же уровень безопасности.
Кто-нибудь может объяснить преимущества конфигурации публичной + частной подсети? Преимущества этого конфига больше связаны с автоматическим масштабированием или на самом деле менее безопасно иметь одну общедоступную подсеть?
Ответы:
Это граница безопасности для частной подсети, которой вы можете управлять с помощью различных групп безопасности из общедоступной подсети. Если один из ваших экземпляров в публичной подсети был взломан, будет гораздо сложнее взломать экземпляры в частной подсети, если вы не слишком либеральны в своих политиках доступа.
источник
t1.micro
VPC.Помимо последствий для безопасности, в игру вступает еще один аспект: если вы хотите разрешить экземплярам без эластичных IP-адресов доступ в Интернет, вам могут потребоваться 2 (или более) разных подсетей.
Перефразируя документацию AWS , в VPC есть три способа разрешить доступ к Интернету экземплярам:
Третий вариант интересен тем, что экземпляр NAT должен находиться в «общедоступной» подсети, где весь исходящий трафик направляется в шлюз Интернета, но все остальные экземпляры должны находиться в «частной» подсети, где весь исходящий трафик направляется к экземпляру NAT.
Короче говоря, если вы планируете использовать NAT, вам нужно как минимум 2 подсети.
источник