Яка різниця між публічною та приватною підмережею в VPC Amazon?

29

Коли я запускаю сервер із групою безпеки, яка дозволяє весь трафік у мою приватну підмережу, на екрані з’являється попередження про те, що він може бути відкритим для світу.

Якщо це приватна підмережа, як це може бути?

networking  amazon-web-services  amazon-vpc 
Developr
джерело
4
Це означає, що якби ви додали EIP до екземпляра, а маршрут за замовчуванням був IGW, він був би доступний у світі. SG не заблокував би доступ.
Марк Вагнер

Відповіді:

29

Основна відмінність - маршрут на 0,0,0,0/0 у відповідній таблиці маршрутів.

Приватна підмережа встановлює цей шлях до екземпляра NAT. Примірникам приватної підмережі потрібен лише приватний ip, а інтернет-трафік направляється через NAT в загальнодоступній підмережі. У вас також не може бути маршруту до 0.0.0.0/0, щоб зробити його справді приватною підмережею без доступу до Інтернету чи не.

Загальнодоступна підмережа здійснює маршрутизацію 0.0.0.0/0 через Інтернет-шлюз (igw). Примірники в загальнодоступній підмережі вимагають, щоб громадські IP-адреси спілкувалися з Інтернетом.

Попередження з’являється навіть для приватних підмереж, але екземпляр доступний лише всередині вашого vpc.

Джейсон Флойд
джерело
що робить це так, щоб екземпляр був доступний лише всередині вашого vpc? якщо я поміщаю екземпляр у приватну підмережу, що зупиняє трафік поза vpc, щоб досягти його. Я побачив, що за замовчуванням мережа vpc acl дозволяє весь трафік
androider
1
@commissandroider - Зовнішній трафік може охоплювати екземпляр лише у тому випадку, якщо: У ньому призначений загальнодоступний IP-адресу, він знаходиться в підмережі з маршрутом за замовчуванням на 0,0.0.0/0, вказаний на Інтернет-шлюз (він же "публічна підмережа"), призначений захист група дозволяє вхідний трафік на вказаний порт від 0,0.0.0/0, і якщо мережеві ACL дозволяють ip / порт. Якщо БУДЬ-які з них встановлені неправильно, громадський трафік не досягне примірника.
Джейсон Флойд
4

Як тут задокументовано

ПУБЛІЧНА ПІБНЕТА Якщо трафік підмережі перенаправляється на Інтернет-шлюз, підмережа відома як загальнодоступна підмережа. ПРИВАТНЕ ПІДСУМКА Якщо у підмережі немає маршруту до Інтернет-шлюзу, підмережа відома як приватна підмережа.

Мігель Карвахаль
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.