AWS VPC - 添加到附加到 Internet 网关的公共路由表的私有子网

Question

希望你们都做得很好。

AWS 允许我们将私有子网（在客户 VPC 中创建）与路由表连接，该路由表通过互联网网关路由到互联网。 对私有子网中启动的实例有什么影响吗？ 或者它与没有链接到路由表的私有子网一样好，路由到互联网

问候 AJ

Answer 1

如果子网具有往返 Internet 的路由，则该子网不是私有的。 在私有子网中启动的实例无法访问 Internet，也无法从 Internet 访问。

例如，如果您有一个数据库实例并且您不希望除了实例之外的任何人访问该实例，您可以在私有子网中启动该实例。

此外，如果您希望私有子网中的实例访问 Internet，则需要设置 Nat 网关（或 Nat 实例）

希望这可以帮助

Answer 2

首先，我们需要知道公有子网和私有子网有什么区别。


公共子网意味着这个子网有一个Internet Gateway连接到它。 私有子网意味着这个子网有一个NAT Gateway连接到它。

Internet 网关可以有入站和出站，但 NAT 只能有出站到 Internet。

并且 NAT 将构建在公共子网中，但附加到私有子网。


您可以同时拥有多个公有/私有子网，并为它们附加 NAT 或 IGW，但 IGW 在每个 VPC 中只能有一个。

在某些用例中，我们不会为子网附加任何类型的 NAT 和 IGW。 那是因为它可能是一个数据库子网，不会期望它与 Internet 通信。 通常，我们会为我们的应用程序（例如 EC2 或 ECS、内部负载均衡器）使用附加了 NAT 的子网。 另一方面，我们将使用一个带有 IGW 的子网，用于面向 Internet 的负载均衡器、Nginx、Apache。

AWS VPC 设计： https : //aws.amazon.com/tw/answers/networking/aws-single-vpc-design/

Answer 3

我认为这里隐藏的魔法是私有子网中的实例需要一个公共 IP 来与外部通信，我们从来没有认为这是我们生活中的问题。 当我们的计算机连接到路由器时，它可以毫无问题地访问互联网，为什么它运行得如此顺利？ 因为路由器为我们处理一切，包括为我们分配私有IP，为我们进行递归DNS查询，最重要的是，使用路由器的公共IP转换私有IP，以便我们的计算机可以与外部进行双向通信。

让我们回到这个 AWS VPC 场景，您将一个带有默认路由的路由表附加到您的私有子网，这使它看起来像一个公共子网。 但是，实例仍然没有公共 IP，并且与我们的路由器不同，AWS VPC 的 Internet 网关不执行 NAT 工作！ 那么没有公网IP和NAT的实例如何访问互联网呢？ 不可能。