AWS VPC - tại sao có một mạng con riêng tư?

8

Trong Amazon VPC, trình hướng dẫn tạo VPC cho phép một người tạo một "mạng con công cộng" duy nhất hoặc để trình hướng dẫn tạo một "mạng con công cộng" và "mạng con riêng tư". Ban đầu, tùy chọn mạng con công cộng và riêng tư có vẻ tốt vì lý do bảo mật, cho phép máy chủ web được đặt trong mạng con công cộng và máy chủ cơ sở dữ liệu đi vào mạng con riêng tư.

Nhưng tôi đã học được rằng các phiên bản EC2 trong mạng con công cộng không thể truy cập được từ Internet trừ khi bạn liên kết Amazon ElasticIP với phiên bản EC2. Vì vậy, dường như chỉ với một cấu hình mạng con công cộng duy nhất, người ta có thể chọn không liên kết một ElasticIP với các máy chủ cơ sở dữ liệu và kết thúc với cùng một loại bảo mật.

Bất cứ ai cũng có thể giải thích những lợi thế của cấu hình mạng con công cộng + riêng tư? Là những lợi thế của cấu hình này nhiều hơn để làm với tự động mở rộng quy mô, hoặc nó thực sự kém an toàn hơn khi có một mạng con công cộng?

amazon-web-services amazon-vpc

— JKim
nguồn

Để biết giá trị của nó, các thể hiện EC2 trong mạng con công khai có thể được truy cập từ Internet, ngay cả khi không có ElasticIP - dù sao họ cũng nhận được địa chỉ IP công khai. Sự khác biệt giữa địa chỉ IP công cộng này và ElasticIP, chỉ đơn giản là địa chỉ IP công cộng có thể thay đổi khi bạn khởi động lại cá thể của mình, trong khi đó, một ElasticIP sẽ tồn tại bao lâu tùy thích.

— offby1

4

Đó là một ranh giới bảo mật để có một mạng con riêng tư mà bạn có thể kiểm soát với các nhóm bảo mật khác nhau từ mạng con công cộng. Nếu một trong các phiên bản của bạn trong mạng con công cộng bị hack, việc xâm nhập vào các cá thể trong mạng con riêng tư sẽ khó khăn hơn nhiều nếu bạn không quá tự do trong các chính sách truy cập của mình.

— Generalnetworkerror
nguồn

1

Cảm ơn. VPC với mạng con riêng + mạng con dường như là cách để đi nếu AWS sẽ ném vào một ví dụ NAT miễn phí. Tôi đang nghĩ đến việc triển khai nhỏ và đang cố gắng tìm hiểu xem chi phí của một cá thể NAT mỗi tháng có xứng đáng với lợi thế của cấu hình 2 mạng con hay không.

— JKim

2

@jkim Bây giờ, giá cả phải chăng hơn đáng kể khi cuối cùng họ cũng hỗ trợ t1.microtrong VPC.

— Jeffrey Hantin

2

Ngoài ý nghĩa bảo mật, còn có một khía cạnh khác xuất hiện: Nếu bạn muốn cho phép các trường hợp không có IP đàn hồi truy cập internet, bạn có thể cần 2 (hoặc nhiều) mạng con khác nhau.

Diễn giải tài liệu AWS , trong VPC có ba cách để cho phép truy cập internet:

IP đàn hồi - nhưng tôi nghĩ bạn chỉ nhận được 5 theo mặc định, và sau đó bạn phải trả thêm tiền
Định tuyến lưu lượng truy cập qua Cổng riêng ảo - điều này yêu cầu bạn phải có kết nối VPN phần cứng với mạng công ty (hoặc nhà) của bạn
Thiết lập một thể hiện NAT và định tuyến tất cả lưu lượng truy cập đi qua NAT

Tùy chọn thứ ba là một điều thú vị ở chỗ cá thể NAT phải ngồi bên trong một mạng con "công cộng" nơi tất cả lưu lượng truy cập đi được chuyển đến Cổng Internet, nhưng tất cả các trường hợp khác phải ngồi trong một mạng con "riêng tư" nơi tất cả lưu lượng truy cập đi ra chuyển đến trường hợp NAT.

Nói tóm lại, nếu bạn dự định sử dụng NAT, bạn cần ít nhất 2 mạng con.

— Tom Poulton
nguồn

Cảm ơn Tom. Tôi nghĩ cũng có thể có 1 mạng con công cộng nhưng chỉ gán một ElasticIP cho thể hiện NAT. Các phiên bản khác trên mạng con công cộng sẽ có quyền truy cập internet ra bên ngoài qua Cổng Internet và truy cập trong nước có thể được định cấu hình qua cổng chuyển tiếp trên phiên bản NAT. Tôi có cảm giác rằng 2 mạng con là cách "phù hợp", nhưng không thấy một lý do rõ ràng nào cho nó.

— JKim