因此,AWS 中私有(private)子网的目的是使其实例无法从外部世界直接访问。然而,在某些情况下(成功地抵制了“实例”双关语),实例访问互联网很有用。例如,一种这样的用例可能是下载软件更新。
实现这一点的“标准”方法是使用 NAT 网关和路由表中的规则将所有出站流量指向它(0.0.0.0/0 -> nat-gw)。
让我困惑的是这个 :
我们不能只使用具有正确配置的安全组 (SG) 的公共(public)子网来拒绝入站流量并允许特定的出站流量吗?由于 SG 是有状态的,它们应该允许对出站流量的响应通过,就像 NAT 网关一样。
我假设我只是遗漏了一些东西,或者上述配置在某种程度上受到了我没有看到的限制。但是我找不到这个问题的答案。
最佳答案
简单的答案是……你是对的!
您当然可以在公共(public)子网中启动所有内容并使用安全组来控制实例之间的流量并限制来自 Internet 的入站访问。
人们使用公共(public)和私有(private)子网,因为这是传统网络设计的方式,当时防火墙只存在于子网之间。安全组是在 Elastic Network Interface 上工作的额外安全层,但对于许多网络专业人士(包括设计合规性要求的人)来说,这有点可怕和新奇。
关于amazon-web-services - 为什么我们需要 AWS 中的私有(private)子网 + NAT 转换?我们不能只使用公共(public)子网 + 正确配置的安全组吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43985703/