在aws vpc中使用私有子网的原因是什么?

时间:2016-12-21 13:13:56

标签: amazon-web-services amazon-ec2 amazon-vpc private-subnet

我正在尝试在创建新的VPC时评估私有和公共子网。 来自互联网的入站流量的隔离是继续私有子网的唯一原因吗?在考虑私有子网时,还需要考虑这些要点。

  1. NAT网关是收费的 - 每GB数据传输0.045美元/小时和0.045美元。因此需要考虑成本。我需要NAT网关来从互联网上提取代码或更新。
  2. 我应该能够通过使用具有不同严格级别的安全组来保护公共子网中的实例。
  3. 启动实例时,我会将公共IP分配给我想要从VPC外部访问的那些实例。

    4. 我经历了this问题,但它没有解决我对上述问题的疑虑。任何帮助表示赞赏。

2 个答案:

答案 0 :(得分:1)

来自7 Security Measures to Protect Your Servers

  

隔离执行环境

     

他们如何加强安全性?

     

将您的流程隔离到单独的执行环境中   提高您隔离可能存在的任何安全问题的能力   出现。类似于舱壁和舱室如何帮助包含船体   船舶违规,分离您的个人组件可以限制   入侵者对您基础设施的其他部分的访问权限。

所以,恕我直言,你需要私人子网吗?要看。在具有公共和私人服务,VPN,数据库等的生产环境中,是;但是,如果您只有一台服务器,并且您不想处理网络ACL,路由,NAT等配置,则可能是服务器和配置良好的安全组的公共子网就足够了。

答案 1 :(得分:1)

回答你的问题:

  1. 使用NAT实例(t2.smallm3.medium)代替NAT网关。便宜得多。
  2. 为什么在公共子网中启动它们,然后在不需要接受传入的互联网流量时调整安全组。总是有机会在SG规则中出错,并且无意中允许恶意流量。即使您想接受互联网流量,我建议您使用haproxy
    3. 等反向代理
  3. 然后仅启动公有子网中的实例或使用反向代理

    4. 私有子网是一个非常有用的功能,可以保护您的实例免受DDoS,未经授权的访问等。请不要为了方便而绕过它。

相关问题
最新问题