AWS VPC-なぜプライベートサブネットがあるのですか？

8

Amazon VPCでは、VPC作成ウィザードを使用して、単一の「パブリックサブネット」を作成するか、ウィザードに「パブリックサブネット」と「プライベートサブネット」を作成させることができます。最初は、セキュリティ上の理由から、パブリックサブネットオプションとプライベートサブネットオプションは適切であるように見え、Webサーバーをパブリックサブネットに配置し、データベースサーバーをプライベートサブネットに配置できるようになりました。

しかし、Amazon ElasticIPをEC2インスタンスに関連付けない限り、パブリックサブネット内のEC2インスタンスにインターネットから到達できないことを知ってからです。したがって、1つのパブリックサブネット構成だけで、ElasticIPをデータベースサーバーに関連付けずに、同じ種類のセキュリティを選択することができます。

誰もがパブリック+プライベートサブネット構成の利点を説明できますか？この構成の利点は自動スケーリングとより関係があるのですか、それとも単一のパブリックサブネットを使用する方が実際には安全性が低くなりますか？

amazon-web-services amazon-vpc

— JKim
ソース

それだけの価値があるのは、ElasticIPがなくても、パブリックサブネット内のEC2インスタンスにインターネットから到達できるということです。いずれにしても、パブリックIPアドレスを取得します。このパブリックIPアドレスとElasticIPの違いは、インスタンスを再起動するとパブリックIPアドレスが変更される可能性があることです。一方、ElasticIPは、必要な期間だけ維持されます。

— offby1 2014年

4

パブリックサブネットからのさまざまなセキュリティグループで制御できるプライベートサブネットを持つことは、セキュリティ境界です。パブリックサブネット内のインスタンスの1つがハッキングされた場合、アクセスポリシーをあまり自由にしないと、プライベートサブネット内のインスタンスにハッキングするのがはるかに難しくなります。

— 一般的なネットワークエラー
ソース

1

ありがとう。AWSが無料でNATインスタンスをスローする場合、pubic + privateサブネットを持つVPCが適しています。私は小規模な導入を考えており、NATインスタンスのコストが毎月2つのサブネット構成の利点に見合うかどうかを調べようとしていました。

— JKim、

2

@jkimようやくt1.microVPCでサポートされるようになったので、かなり手頃な価格になりました。

— ジェフリーハンティン2013

2

セキュリティへの影響だけでなく、もう1つの側面があります。ElasticIPのないインスタンスがインターネットにアクセスできるようにするには、2つ（またはそれ以上）の異なるサブネットが必要になる場合があります。

VPC内でAWSドキュメントを言い換えると、インスタンスのインターネットアクセスを許可する3つの方法があります。

エラスティックIP-ただし、デフォルトでは5しか取得できないため、追加で支払う必要があります
Virtual Private Gatewayを介してトラフィックをルーティングします-これには、企業（またはホーム）ネットワークへのハードウェアVPN接続が必要です
NATインスタンスをセットアップし、NATを介してすべての送信トラフィックをルーティングする

3番目のオプションは興味深いものです。NATインスタンスはすべての送信トラフィックがインターネットゲートウェイにルーティングされる「パブリック」サブネット内にある必要がありますが、他のすべてのインスタンスはすべての送信トラフィックが「プライベート」サブネット内にある必要があります。 NATインスタンスにルーティングされます。

つまり、NATの使用を計画している場合は、少なくとも2つのサブネットが必要です。

— トム・ポールトン
ソース

トムに感謝します。1つのパブリックサブネットを使用して、ElasticIPのみをNATインスタンスに割り当てることも可能だと思います。パブリックサブネット上の他のインスタンスには、インターネットゲートウェイを介したアウトバウンドインターネットアクセスがあり、インバウンドアクセスは、NATインスタンスのポート転送を介して構成できます。2つのサブネットが「適切な」方法であると感じましたが、その明確な理由はわかりません。

— JKim 2013