Amazon VPCのパブリックサブネットとプライベートサブネットの違いは何ですか?

29

プライベートサブネットへのすべてのトラフィックを許可するセキュリティグループを使用してサーバーを起動すると、世界中に公開されている可能性があるという警告が表示されます。

プライベートサブネットの場合、どのようになりますか?

networking  amazon-web-services  amazon-vpc 
開発者
ソース
4
これは、インスタンスにEIPを追加し、デフォルトルートがIGWである場合、世界中からアクセスできることを意味します。SGはアクセスをブロックしません。
マークワーグナー

回答:

29

主な違いは、関連するルートテーブルの0.0.0.0/0のルートです。

プライベートサブネットは、そのルートをNATインスタンスに設定します。プライベートサブネットインスタンスはプライベートIPのみを必要とし、インターネットトラフィックはパブリックサブネットのNATを介してルーティングされます。また、0.0.0.0 / 0へのルートを持たないことで、インターネットに出入りできない真のプライベートサブネットにすることもできます。

パブリックサブネットは、インターネットゲートウェイ(igw)を介して0.0.0.0/0をルーティングします。パブリックサブネットのインスタンスは、インターネットと通信するためにパブリックIPを必要とします。

警告はプライベートサブネットに対しても表示されますが、インスタンスはvpc内でのみアクセス可能です。

ジェイソン・フロイド
ソース
インスタンスがvpc内でのみアクセスできるようにする理由は何ですか?インスタンスをプライベートサブネットに配置すると、vpcの外部からのトラフィックが停止して、そこに到達します。私は、デフォルトではVPCのネットワークACLがすべてのトラフィックを許可したことを見た
committedandroider
1
@committedandroider-外部トラフィックは次の場合にのみインスタンスに到達できます:パブリックIPが割り当てられており、インターネットゲートウェイ(別名「パブリックサブネット」)を指す0.0.0.0/0のデフォルトルートを持つサブネット上にあり、割り当てられたセキュリティグループは、指定されたポートの0.0.0.0/0からの着信トラフィックを許可し、ネットワークACLがip / portを許可する場合。これらのいずれかが正しく設定されていない場合、パブリックトラフィックはインスタンスに到達しません。
ジェイソンフロイド
4

ここに記載されているとおり

パブリックサブネット、サブネットのトラフィックがインターネットゲートウェイにルーティングされている場合は、サブネットはパブリックサブネットとして知られています。 プライベートサブネットサブネットにインターネットゲートウェイへのルートがない場合、そのサブネットはプライベートサブネットと呼ばれます。

ミゲル・カルバハル
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.