[英]Why do AWS recommend public and private subnets with a nat gateway?
我将遵守 AWS 最佳实践,并在私有 su.net 中拥有例如数据库实例,但我想知道为什么推荐这种架构?
AWS 推荐这种架构,这样 DBMS 就无法被外界访问。 如果你想给它打补丁,或者其他一些操作,它需要访问 inte.net,你应该在你的公共 su.net 中提供一个 NAT 网关。 私有 su.net 中的 DBMS 实例然后可以通过此 NAT 网关访问 inte.net。
是否可以通过具有公共 su.net 中的 DBMS 实例的安全组来实现同样的目标? 值得注意的是,AWS 对 NAT 网关的收费约为 40 美元/月。
在 DBMS 实例上,您可以有一个安全组规则,该规则允许所有出站流量但阻止入站流量(我认为这是默认规则)。 此规则可以扩展为仅允许来自公共 su.net 中特定 web 服务器的入站流量。
答案是公共 su.net 内的实例会自动获得公共 IPv4 地址吗? 这对我的 DBMS 实例来说是不可取的,即使它通过我的安全组规则有效地防火墙,如上所述。
感谢您帮助我更好地了解 AWS.networking。
你是对的,这是参考架构,你确实不是第一个对 NAT 网关的成本表示怀疑的人。
确实,公共网络和私有网络的分离是一个额外的安全层,可以防止您的关键基础设施无意中暴露给公共互联网,也可以防止暴露给您的 VPC 中特权较低的资源。
请记住,并非每个私有 su.net 都需要 NAT 网关; 仅当机器需要自己启动到 inte.net 的流量时才需要这样做。 例如,您可以拥有预先烘焙的、定期更新的 AMI,这些 AMI 不需要在启动时进行通常的yum update或任何其他此类活动,并且您可以在没有 NAT 网关的情况下逃脱。
此外,最佳实践并不意味着它是强制性的。 例如,如果您通过 Cloudformation 进行部署,请定期进行安全和架构审查,并确保拥有 SG/NACL/等。 如果设置得当,您也可以将数据库放在“公共”su.net 中。 TL;DR:使用您自己的判断来评估安全性和成本之间的权衡,无论是哪种方式。
免责声明:这不是AWS官方position,而是我个人的观点。
AWS:SSH 通过 NAT 网关从公共 su.net EC2 实例到私有 su.net EC2 实例没有发生
[英]AWS : SSH to private subnet EC2 instance from public subnet EC2 instance via NAT GATEWAY is not happening
如果 AWS Fargate 任务在启用 VPC 终端节点和 NAT 网关的私有 su.net 中预配置,会发生什么情况?
[英]What will happen if AWS Fargate Tasks are provisioned in private subnet with VPC Endpoints and NAT Gateway enabled?
如何使用 terraform 创建具有公共和私有 su.net 的 EKS 集群?
[英]How to create an EKS cluster with public and private subnets using terraform?
如何找到每个 AWS EKS pod 从 NAT 网关传输的数据?
[英]How to find DataTransferred from NAT gateway by each AWS EKS pod?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
