因此,AWS中私有子网的目的是让其实例无法直接从外部访问。然而,有些情况(成功抵制了'实例&双关语),其中对于实例可以访问互联网很有用。一个这样的用例可以是例如下载软件更新。
"标准"实现这一目标的方法是使用NAT网关和路由表中的规则,将所有出站流量指向它(0.0.0.0/0 - > nat-gw)。
困扰我的是: 我们不能仅使用具有正确配置的安全组(SG)的公有子网来拒绝入站流量并允许特定的出站流量吗?由于SG是有状态的,它们应该允许对出站流量的响应通过,就像NAT网关一样。
我认为我只是遗漏了某些东西,或者上述配置在某种程度上受到了限制,我只是没有看到。但是我无法找到答案。
答案 0 :(得分:6)
简单的答案是......你是对的!
您当然可以在公共子网中启动所有内容,并使用安全组来控制实例之间的流量,并限制来自Internet的入站访问。
人们使用公共&私有子网,因为这是传统设计网络的方式,当防火墙仅存在于子网之间时。安全组是在弹性网络接口上工作的附加安全层,但对于许多网络专业人员(包括设计合规性要求的人员)而言,这有点可怕和新的。
答案 1 :(得分:5)