Was ist der Unterschied zwischen einem öffentlichen und einem privaten Subnetz in einer Amazon VPC?

29

Wenn ich einen Server mit einer Sicherheitsgruppe starte, die den gesamten Datenverkehr in mein privates Subnetz zulässt, wird eine Warnung angezeigt, dass er möglicherweise für die Welt geöffnet ist.

Wenn es ein privates Subnetz ist, wie kann das sein?

networking amazon-web-services amazon-vpc Developr
quelle
4
Dies bedeutet, dass Sie, wenn Sie der Instanz eine EIP hinzufügen und die Standardroute eine IGW ist, von der Welt aus darauf zugreifen können. Die SG würde den Zugang nicht blockieren.
Mark Wagner

Antworten:

29

Der Hauptunterschied ist die Route für 0.0.0.0/0 in der zugehörigen Routentabelle.

Ein privates Subnetz legt diese Route auf eine NAT-Instanz fest. Private Subnetzinstanzen benötigen nur eine private IP-Adresse und der Internetverkehr wird über das NAT im öffentlichen Subnetz geleitet. Sie könnten auch keine Route zu 0.0.0.0/0 haben, um es zu einem wirklich privaten Subnetz ohne Internet-Zugang zu machen .

Ein öffentliches Subnetz leitet 0.0.0.0/0 über ein Internet-Gateway (igw). Für Instanzen in einem öffentlichen Subnetz sind öffentliche IP-Adressen erforderlich, um mit dem Internet zu kommunizieren.

Die Warnung wird auch für private Subnetze angezeigt, auf die Instanz kann jedoch nur in Ihrem vpc zugegriffen werden.

Jason Floyd
quelle
was macht es so, dass die instanz nur in ihrem vpc zugänglich ist? Wenn ich eine Instanz in ein privates Subnetz stelle, was stoppt den Datenverkehr von außerhalb des virtuellen Computers, um ihn zu erreichen? Ich sah , dass das VPC Netzwerk acl standardmäßig ermöglicht den gesamten Datenverkehr
committedandroider
1
@committedandroider - Externer Datenverkehr kann die Instanz nur erreichen, wenn: Es wurde eine öffentliche IP zugewiesen, es befindet sich in einem Subnetz mit der Standardroute für 0.0.0.0/0, die auf ein Internet-Gateway (auch als "öffentliches Subnetz" bezeichnet) verweist, die zugewiesene Sicherheit group lässt den eingehenden Datenverkehr auf dem angegebenen Port von 0.0.0.0/0 zu, und wenn die Netzwerk-ACLs den IP / Port zulassen. Wenn EINER dieser Werte nicht korrekt eingestellt ist, erreicht der öffentliche Verkehr die Instanz nicht.
Jason Floyd
4

Wie hier dokumentiert

PUBLIC SUBNET Wenn der Datenverkehr eines Subnetzes an ein Internet-Gateway weitergeleitet wird, wird das Subnetz als öffentliches Subnetz bezeichnet. PRIVATE SUBNET Wenn ein Subnetz keine Route zum Internet-Gateway hat, wird das Subnetz als privates Subnetz bezeichnet.

Miguel Carvajal
quelle