Qual é a diferença entre uma sub-rede pública e privada em um Amazon VPC?

29

Quando inicio um servidor com um grupo de segurança que permite todo o tráfego na minha sub-rede privada, ele exibe um aviso de que pode estar aberto ao mundo.

Se é uma sub-rede privada, como pode ser isso?

networking  amazon-web-services  amazon-vpc 
Developr
fonte
4
Isso significa que, se você adicionasse um EIP à instância e a rota padrão fosse um IGW, seria acessível a partir do mundo. O SG não bloquearia o acesso.
Mark Wagner

Respostas:

29

A principal diferença é a rota para 0.0.0.0/0 na tabela de rotas associada.

Uma sub-rede privada define esse roteamento para uma instância NAT. Instâncias de sub-rede privadas precisam apenas de um IP privado e o tráfego da Internet é roteado através do NAT na sub-rede pública. Você também não pode ter uma rota para 0.0.0.0/0 para torná-la uma sub-rede verdadeiramente privada sem acesso ou saída da Internet.

Uma sub-rede pública roteia 0.0.0.0/0 através de um gateway da Internet (igw). Instâncias em uma sub-rede pública exigem IPs públicos para conversar com a Internet.

O aviso aparece mesmo para sub-redes privadas, mas a instância é acessível apenas dentro do seu vpc.

Jason Floyd
fonte
o que faz com que a instância seja acessível apenas dentro do seu vpc? se eu colocar uma instância em uma sub-rede privada, o que está impedindo o tráfego de fora do vpc para alcançá-lo. Vi que, por padrão o acl rede VPC permite que todo o tráfego
committedandroider
1
@committedandroider - O tráfego externo só pode alcançar a instância se: Ele tiver um IP público atribuído, estiver em uma sub-rede com a rota padrão para 0.0.0.0/0 apontada para um gateway da Internet (também conhecido como 'sub-rede pública'), a segurança atribuída O grupo permite o tráfego recebido na porta especificada a partir de 0.0.0.0/0 e se as ACLs da rede permitirem o ip / porta. Se ALGUM deles não estiver definido corretamente, o tráfego público não alcançará a instância.
Jason Floyd
4

Conforme documentado aqui

SUBNET PÚBLICA Se o tráfego de uma sub-rede é roteado para um gateway da Internet, a sub-rede é conhecida como sub-rede pública. SUBNET PRIVADA Se uma sub-rede não possui uma rota para o gateway da Internet, a sub-rede é conhecida como sub-rede privada.

Miguel Carvajal
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.