ใน Amazon VPC วิซาร์ดการสร้าง VPC อนุญาตให้สร้าง "เครือข่ายย่อยสาธารณะ" เดี่ยว หรือให้ตัวช่วยสร้างสร้าง "เครือข่ายย่อยสาธารณะ" และ "เครือข่ายย่อยส่วนตัว" เริ่มแรก ตัวเลือกซับเน็ตสาธารณะและส่วนตัวดูเหมือนจะดีสำหรับเหตุผลด้านความปลอดภัย ทำให้เว็บเซิร์ฟเวอร์สามารถใส่ซับเน็ตสาธารณะและเซิร์ฟเวอร์ฐานข้อมูลเพื่อไปยังซับเน็ตส่วนตัวได้

แต่ตั้งแต่นั้นมา ฉันได้เรียนรู้ว่าอินสแตนซ์ EC2 ในเครือข่ายย่อยสาธารณะไม่สามารถเข้าถึงได้จากอินเทอร์เน็ต เว้นแต่คุณจะเชื่อมโยง Amazon ElasticIP กับอินสแตนซ์ EC2 ดังนั้นจึงดูเหมือนว่ามีเพียงการกำหนดค่าเครือข่ายย่อยสาธารณะเพียงรายการเดียว เราอาจเลือกที่จะไม่เชื่อมโยง ElasticIP กับเซิร์ฟเวอร์ฐานข้อมูลและจบลงด้วยการรักษาความปลอดภัยแบบเดียวกัน

ใครสามารถอธิบายข้อดีของการกำหนดค่าซับเน็ตสาธารณะ + ส่วนตัวได้บ้าง ข้อดีของการกำหนดค่านี้เกี่ยวข้องกับการปรับขนาดอัตโนมัติมากกว่า หรือมีความปลอดภัยน้อยกว่าจริง ๆ ที่จะมีซับเน็ตสาธารณะเพียงเครือข่ายเดียว

answer

เป็นขอบเขตความปลอดภัยที่จะมีซับเน็ตส่วนตัวที่คุณสามารถควบคุมด้วยกลุ่มความปลอดภัยที่แตกต่างจากซับเน็ตสาธารณะ หากอินสแตนซ์ใดอินสแตนซ์หนึ่งในเครือข่ายย่อยสาธารณะถูกแฮ็ก การแฮ็กอินสแตนซ์ในเครือข่ายย่อยส่วนตัวจะยากกว่ามาก หากคุณไม่ได้เปิดกว้างเกินไปในนโยบายการเข้าถึงของคุณ

นอกจากผลกระทบด้านความปลอดภัยแล้ว ยังมีแง่มุมอื่นที่เกี่ยวข้อง: หากคุณต้องการอนุญาตให้อินสแตนซ์ที่ไม่มี Elastic IP เข้าถึงอินเทอร์เน็ต คุณอาจต้องมีซับเน็ตที่แตกต่างกัน 2 (หรือมากกว่า)

การถอดความเอกสารของ AWSภายใน VPC มีสามวิธีในการอนุญาตให้อินสแตนซ์เข้าถึงอินเทอร์เน็ต:

  1. Elastic IPs - แต่ฉันคิดว่าคุณจะได้รับ 5 เท่านั้นโดยปริยายแล้วคุณต้องจ่ายเงินเพิ่ม
  2. กำหนดเส้นทางการรับส่งข้อมูลผ่าน Virtual Private Gateway - คุณต้องมีการเชื่อมต่อ VPN ฮาร์ดแวร์กับเครือข่ายองค์กร (หรือที่บ้าน) ของคุณ
  3. ตั้งค่าอินสแตนซ์ NATและกำหนดเส้นทางการรับส่งข้อมูลขาออกทั้งหมดผ่าน NAT

ตัวเลือกที่สามเป็นตัวเลือกที่น่าสนใจตรงที่อินสแตนซ์ NAT ต้องอยู่ในซับเน็ต "สาธารณะ" ซึ่งการรับส่งข้อมูลขาออกทั้งหมดจะถูกส่งไปยังอินเทอร์เน็ตเกตเวย์ แต่อินสแตนซ์อื่นๆ ทั้งหมดต้องนั่งในซับเน็ต "ส่วนตัว" ที่มีการรับส่งข้อมูลขาออกทั้งหมด กำหนดเส้นทางไปยังอินสแตนซ์ NAT

กล่าวโดยสรุป หากคุณกำลังวางแผนที่จะใช้ NAT คุณต้องมีซับเน็ตอย่างน้อย 2 เครือข่าย