Amazon VPC에서 퍼블릭 서브넷과 프라이빗 서브넷의 차이점은 무엇입니까?

29

개인 서브넷으로의 모든 트래픽을 허용하는 보안 그룹이있는 서버를 시작하면 전세계에 공개 될 수 있다는 경고가 표시됩니다.

프라이빗 서브넷이라면 어떻게 될 수 있습니까?

networking amazon-web-services amazon-vpc

— 개발자
소스

4

즉, 인스턴스에 EIP를 추가하고 기본 경로가 IGW 인 경우 전 세계에서 액세스 할 수 있습니다. SG는 액세스를 차단하지 않습니다.

— 마크 바그너

29

주요 차이점은 연결된 경로 테이블에서 0.0.0.0/0의 경로입니다.

프라이빗 서브넷은 NAT 인스턴스로 라우팅되는 것을 설정합니다. 프라이빗 서브넷 인스턴스에는 프라이빗 IP 만 필요하며 인터넷 트래픽은 퍼블릭 서브넷의 NAT를 통해 라우팅됩니다. 인터넷에 출입 할 수없는 진정한 프라이빗 서브넷 으로 만들기 위해 0.0.0.0/0으로 라우팅 할 수도 없습니다 .

퍼블릭 서브넷은 인터넷 게이트웨이 (igw)를 통해 0.0.0.0/0을 라우팅합니다. 퍼블릭 서브넷의 인스턴스는 퍼블릭 IP가 인터넷과 통신해야합니다.

프라이빗 서브넷에서도 경고가 표시되지만 인스턴스는 vpc 내에서만 액세스 할 수 있습니다.

— 제이슨 플로이드
소스

vpc 내에서만 인스턴스에 액세스 할 수 있도록 만드는 이유는 무엇입니까? 프라이빗 서브넷에 인스턴스를 배치하면 vpc 외부에서 트래픽이 도달하지 못하게됩니다. 나는 기본적으로 VPC의 네트워크 ACL이 모든 트래픽을 허용하는 것을보고

— committedandroider을

1

@committedandroider-외부 트래픽은 다음과 같은 경우에만 인스턴스에 도달 할 수 있습니다. 퍼블릭 IP가 할당되어 있고 인터넷 게이트웨이 (일명 '퍼블릭 서브넷')를 가리키는 0.0.0.0/0의 기본 경로가있는 서브넷에 있고 할당 된 보안 group은 0.0.0.0/0에서 지정된 포트로 들어오는 트래픽을 허용하고 네트워크 ACL이 ip / port를 허용하는 경우 허용합니다. 이들 중 하나라도 올바르게 설정되지 않으면 퍼블릭 트래픽이 인스턴스에 도달하지 않습니다.

— Jason Floyd

4

여기에 설명 된대로

퍼블릭 서브넷 서브넷의 트래픽이 인터넷 게이트웨이로 라우팅되는 경우 서브넷을 퍼블릭 서브넷이라고합니다. 개인 서브넷 서브넷에 인터넷 게이트웨이에 대한 경로가없는 경우 서브넷을 프라이빗 서브넷이라고합니다.

— 미구엘 카르 바잘
소스