Qual è la differenza tra una sottorete pubblica e privata in un VPC Amazon?

29

Quando avvio un server con un gruppo di sicurezza che consente tutto il traffico verso la mia sottorete privata, viene visualizzato un avviso che potrebbe essere aperto al mondo.

Se è una sottorete privata, come può essere?

networking  amazon-web-services  amazon-vpc 
developr
fonte
4
Significa che se si aggiungesse un EIP all'istanza e il percorso predefinito fosse un IGW sarebbe accessibile dal mondo. L'SG non bloccherebbe l'accesso.
Mark Wagner,

Risposte:

29

La differenza principale è la route per 0.0.0.0/0 nella tabella di route associata.

Una sottorete privata imposta tale route su un'istanza NAT. Le istanze di sottorete private richiedono solo un IP privato e il traffico Internet viene instradato attraverso il NAT nella sottorete pubblica. Non potresti inoltre non avere alcun percorso verso 0.0.0.0/0 per renderlo una sottorete veramente privata senza accesso a Internet in entrata o in uscita.

Una sottorete pubblica instrada 0.0.0.0/0 attraverso un gateway Internet (igw). Le istanze in una sottorete pubblica richiedono che gli IP pubblici parlino a Internet.

L'avviso appare anche per le sottoreti private, ma l'istanza è accessibile solo all'interno del tuo vpc.

Jason Floyd
fonte
cosa rende l'istanza accessibile solo all'interno del tuo PC? se inserisco un'istanza in una sottorete privata, cosa impedisce al traffico di accedere al VPN per raggiungerlo. Ho visto che di default l'ACL rete VPC consente tutto il traffico
committedandroider
1
@committedandroider - Il traffico esterno può raggiungere l'istanza solo se: ha un IP pubblico assegnato, si trova su una sottorete con la route predefinita per 0.0.0.0/0 puntata su un gateway Internet (aka "sottorete pubblica"), la sicurezza assegnata group consente il traffico in entrata sulla porta specificata da 0.0.0.0/0 e se gli ACL di rete consentono l'ip / porta. Se QUALUNQUE di questi non è impostato correttamente, il traffico pubblico non raggiungerà l'istanza.
Jason Floyd
4

Come documentato qui

SUBNET PUBBLICO Se il traffico di una sottorete viene instradato verso un gateway Internet, la sottorete è nota come sottorete pubblica. SUBNET PRIVATO Se una sottorete non ha un percorso verso il gateway Internet, la sottorete è nota come sottorete privata.

Miguel Carvajal
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.