我根据方案2创建了一个VPC:http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html
在公共子网中创建实例时,我可以选择:
1-不将公共IP与实例相关联
2-关联可在实例重新启动时更改的公共IP
3-关联弹性IP
我的问题是:在公共子网中创建实例但没有公共IP(选项1)和在私有子网中创建实例之间的区别是什么?我知道私有实例是NAT的背后,但这确实增加了相关的安全层吗?如果没有属于健全安全组的公共IP,我是否会受到公共实例的保护?
答案 0 :(得分:6)
查看此http://jsfiddle.net/d4ywy0fu/。
简而言之,区别在于网络层,所产生的安全状态相似。没有可公共路由地址的公有子网上的实例将无法接收入站连接,也无法在没有附加EIP地址的情况下进行出站连接 - 即使安全组允许它也是如此。 (例如,您必须将EIP仅附加到SSH到实例中。)实际上,它是一个封闭块,而NAT允许您像通常期望的那样微调访问。 / p>
您还可以阅读有关answer about the difference between private and public subnets in AWS的更多信息。