为什么我们需要AWS中的私有子网+ NAT转换?我们不能只使用公共子网+正确配置的安全组吗?

时间:2017-05-15 17:42:28

标签: amazon-web-services nat subnet aws-security-group

因此,AWS中私有子网的目的是让其实例无法直接从外部访问。然而,有些情况(成功抵制了'实例&双关语),其中对于实例可以访问互联网很有用。一个这样的用例可以是例如下载软件更新。

"标准"实现这一目标的方法是使用NAT网关和路由表中的规则,将所有出站流量指向它(0.0.0.0/0 - > nat-gw)。

困扰我的是: 我们不能仅使用具有正确配置的安全组(SG)的公有子网来拒绝入站流量并允许特定的出站流量吗?由于SG是有状态的,它们应该允许对出站流量的响应通过,就像NAT网关一样。

我认为我只是遗漏了某些东西,或者上述配置在某种程度上受到了限制,我只是没有看到。但是我无法找到答案。

2 个答案:

答案 0 :(得分:6)

简单的答案是......你是对的!

您当然可以在公共子网中启动所有内容,并使用安全组来控制实例之间的流量,并限制来自Internet的入站访问。

人们使用公共&私有子网,因为这是传统设计网络的方式,当防火墙仅存在于子网之间时。安全组是在弹性网络接口上工作的附加安全层,但对于许多网络专业人员(包括设计合规性要求的人员)而言,这有点可怕和新的。

答案 1 :(得分:5)

  1. 合规是人们可能选择的主要原因之一     私人子网。很多公司,尤其是金融机构,都有严格的合规要求 不是任何公共访问     到服务器。创建公有子网时,有一个     分配公共IP地址的可能性,可以做出任何     可从互联网访问的实例(再次只要安全性     小组允许它。)。
  2. 安全组是AWS在逻辑级别提供的防火墙。 创建私有子网可确保即使实例属于该子网 到安全组,允许访问某些端口和 协议,服务器仍然无法公开访问。
  3. 另一个原因,你可能选择私人子网是建筑师 以所有公共服务器始终处于的方式构建您的基础架构 DMZ。只有DMZ可以访问互联网。其他每件事都在 私有子网。如果出现问题,请访问 DMZ可以关闭,可以防止进一步的损坏。