AWS VPC-왜 프라이빗 서브넷이 있습니까?

8

Amazon VPC에서 VPC 생성 마법사를 사용하면 하나의 "퍼블릭 서브넷"을 만들거나 마법사가 "퍼블릭 서브넷"과 "프라이빗 서브넷"을 만들 수 있습니다. 처음에는 퍼블릭 및 프라이빗 서브넷 옵션이 보안상의 이유로 좋았 기 때문에 웹 서버를 퍼블릭 서브넷에 배치하고 데이터베이스 서버를 프라이빗 서브넷에 배치 할 수있었습니다.

그러나 Amazon ElasticIP를 EC2 인스턴스와 연결하지 않으면 퍼블릭 서브넷의 EC2 인스턴스에 인터넷을 연결할 수 없다는 것을 알게되었습니다. 따라서 퍼블릭 서브넷 구성이 하나 인 것처럼 보이므로 ElasticIP를 데이터베이스 서버와 연결하지 않고 동일한 종류의 보안으로 끝날 수 있습니다.

누구나 퍼블릭 + 프라이빗 서브넷 구성의 장점을 설명 할 수 있습니까? 이 구성의 장점은 자동 확장과 더 관련이 있습니까, 아니면 단일 퍼블릭 서브넷을 갖는 것이 실제로 덜 안전합니까?

amazon-web-services  amazon-vpc 
JKim
소스
가치가있는 경우, 퍼블릭 서브넷의 EC2 인스턴스 는 ElasticIP 없이도 인터넷을 통해 액세스 할 수 있습니다. 어쨌든 퍼블릭 IP 주소를 얻습니다. 이 퍼블릭 IP 주소와 ElasticIP의 차이점은 인스턴스를 재부팅 할 때 퍼블릭 IP 주소가 변경 될 수있는 반면 ElasticIP는 원하는 기간 동안 계속 유지됩니다.
offby1

답변:

4

퍼블릭 서브넷과 다른 보안 그룹으로 제어 할 수있는 프라이빗 서브넷을 갖는 것은 보안 경계입니다. 퍼블릭 서브넷의 인스턴스 중 하나가 해킹 된 경우 액세스 정책에 너무 자유롭지 않은 경우 프라이빗 서브넷의 인스턴스를 해킹하는 것이 훨씬 더 어려워집니다.

일반 네트워크 오류
소스
1
감사. pubic + private 서브넷이있는 VPC는 ​​AWS가 NAT 인스턴스를 무료로 처리 할 수있는 방법입니다. 소규모 배포를 생각하고 있으며 매월 NAT 인스턴스의 비용이 2 개의 서브넷 구성의 이점이 있는지 알아 내려고했습니다.
JKim 1
2
@jkim 이제 t1.microVPC를 지원하므로 훨씬 저렴 합니다.
Jeffrey Hantin
2

보안 관련 사항뿐만 아니라 다른 측면도 있습니다. Elastic IP가없는 인스턴스가 인터넷에 액세스하도록하려면 2 개 이상의 서로 다른 서브넷이 필요할 수 있습니다.

VPC 내 에서 AWS 설명서를 해석 하면 인스턴스 인터넷 액세스를 허용하는 세 가지 방법이 있습니다.

  1. 탄력적 IP-기본적으로 5 개만받는다고 생각하면 더 많은 비용을 지불해야합니다
  2. Virtual Private Gateway를 통한 트래픽 라우팅-회사 (또는 홈) 네트워크에 하드웨어 VPN 연결이 필요합니다.
  3. NAT 인스턴스를 설정하고 NAT를 통해 모든 아웃 바운드 트래픽을 라우팅

세 번째 옵션은 NAT 인스턴스가 모든 아웃 바운드 트래픽이 인터넷 게이트웨이로 라우팅되는 "퍼블릭"서브넷 안에 있어야하지만 다른 모든 인스턴스는 모든 아웃 바운드 트래픽이있는 "프라이빗"서브넷에 있어야한다는 점에서 흥미로운 옵션입니다. NAT 인스턴스로 라우팅됩니다.

요컨대, NAT 사용을 계획하고 있다면 최소한 2 개의 서브넷이 필요합니다.

톰 폴턴
소스
고마워 톰 퍼블릭 서브넷 1 개를 가질 수 있지만 NAT 인스턴스에만 ElasticIP를 할당 할 수 있다고 생각합니다. 퍼블릭 서브넷의 다른 인스턴스는 인터넷 게이트웨이를 통한 아웃 바운드 인터넷 액세스 권한을 가지며 NAT 인스턴스의 포트 전달을 통해 인바운드 액세스를 구성 할 수 있습니다. 2 개의 서브넷이 "적절한"방법이라는 느낌이 들었지만 그 이유는 분명하지 않습니다.
JKim
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.