3
因此,AWS中的私有子網的目的是不能直接從外部訪問它的實例。然而,有些情況(成功地抵制了'實例'雙關語),在這種情況下,實例可以訪問互聯網。例如,一種這樣的用例可能是下載軟件更新。爲什麼我們需要在AWS中使用私有子網+ NAT轉換?我們不能只使用公共子網+正確配置的安全組嗎?
實現此目標的「標準」方法是使用NAT網關和路由表中的所有出站流量指向的規則(0.0.0.0/0 - > nat-gw)。
是困擾我,這是的事情: 我們不能只用一個公共子網與拒絕入站流量,並允許特定的出站流量配置正確的安全組(SG)?由於SG是有狀態的,它們應該允許對出站流量的響應通過,就像NAT網關一樣。
我假設我只是錯過了某些東西,或者上述配置受限於某種我沒有看到的方式。但是我無法找到答案。
「我們不能只使用具有正確配置的安全組的公共子網」 - >對於每個問題,都有很多可能的解決方案。 「可以使用不同子網(私有或公共)」有多種原因,如可擴展性和支持大量資源/ IP,分區以降低風險和合規性要求等。如果您不關心(或)不有任何這些要求,您可以隨意搭建您想要的任何方式。 – kosa
那麼,那麼會是一個原因*不*這樣做(除了外部合規性原因)?我只是想更好地掌握情況,並獲得辨別何時適合和何時不適合的能力。 –
正如我所評論的,如果您有任何像我列出的要求,大多數大公司都有,那麼您會選擇私人+公共子網方法。如果您大多數時間只有單個(或多個)EC2實例,只需使用公有子網+ SG即可。所以,具體的答案取決於很多因素。總之,對於這個問題的回答不僅僅取決於技術堆棧,非技術環境發揮重要作用。 – kosa