Amazon VPC에서 퍼블릭 서브넷과 프라이빗 서브넷의 차이점은 무엇입니까?


29

개인 서브넷으로의 모든 트래픽을 허용하는 보안 그룹이있는 서버를 시작하면 전세계에 공개 될 수 있다는 경고가 표시됩니다.

프라이빗 서브넷이라면 어떻게 될 수 있습니까?


4
즉, 인스턴스에 EIP를 추가하고 기본 경로가 IGW 인 경우 전 세계에서 액세스 할 수 있습니다. SG는 액세스를 차단하지 않습니다.
마크 바그너

답변:


29

주요 차이점은 연결된 경로 테이블에서 0.0.0.0/0의 경로입니다.

프라이빗 서브넷은 NAT 인스턴스로 라우팅되는 것을 설정합니다. 프라이빗 서브넷 인스턴스에는 프라이빗 IP 만 필요하며 인터넷 트래픽은 퍼블릭 서브넷의 NAT를 통해 라우팅됩니다. 인터넷에 출입 할 수없는 진정한 프라이빗 서브넷 으로 만들기 위해 0.0.0.0/0으로 라우팅 할 수도 없습니다 .

퍼블릭 서브넷은 인터넷 게이트웨이 (igw)를 통해 0.0.0.0/0을 라우팅합니다. 퍼블릭 서브넷의 인스턴스는 퍼블릭 IP가 인터넷과 통신해야합니다.

프라이빗 서브넷에서도 경고가 표시되지만 인스턴스는 vpc 내에서만 액세스 할 수 있습니다.


vpc 내에서만 인스턴스에 액세스 할 수 있도록 만드는 이유는 무엇입니까? 프라이빗 서브넷에 인스턴스를 배치하면 vpc 외부에서 트래픽이 도달하지 못하게됩니다. 나는 기본적으로 VPC의 네트워크 ACL이 모든 트래픽을 허용하는 것을보고
committedandroider을

1
@committedandroider-외부 트래픽은 다음과 같은 경우에만 인스턴스에 도달 할 수 있습니다. 퍼블릭 IP가 할당되어 있고 인터넷 게이트웨이 (일명 '퍼블릭 서브넷')를 가리키는 0.0.0.0/0의 기본 경로가있는 서브넷에 있고 할당 된 보안 group은 0.0.0.0/0에서 지정된 포트로 들어오는 트래픽을 허용하고 네트워크 ACL이 ip / port를 허용하는 경우 허용합니다. 이들 중 하나라도 올바르게 설정되지 않으면 퍼블릭 트래픽이 인스턴스에 도달하지 않습니다.
Jason Floyd

4

여기에 설명 된대로

퍼블릭 서브넷 서브넷의 트래픽이 인터넷 게이트웨이로 라우팅되는 경우 서브넷을 퍼블릭 서브넷이라고합니다. 개인 서브넷 서브넷에 인터넷 게이트웨이에 대한 경로가없는 경우 서브넷을 프라이빗 서브넷이라고합니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.