Quelle est la différence entre un sous-réseau public et privé dans un Amazon VPC?

29

Lorsque je lance un serveur avec un groupe de sécurité qui autorise tout le trafic vers mon sous-réseau privé, il affiche un avertissement indiquant qu'il peut être ouvert au monde.

S'il s'agit d'un sous-réseau privé, comment est-ce possible?

Developr
la source
4
Cela signifie que si vous deviez ajouter un EIP à l'instance et que la route par défaut était un IGW, elle serait accessible depuis le monde. Le SG ne bloquerait pas l'accès.
Mark Wagner

Réponses:

29

La principale différence est la route pour 0.0.0.0/0 dans la table de route associée.

Un sous-réseau privé définit cette route vers une instance NAT. Les instances de sous-réseau privé n'ont besoin que d'une adresse IP privée et le trafic Internet est acheminé via le NAT dans le sous-réseau public. Vous pouvez également ne pas avoir de route vers 0.0.0.0/0 pour en faire un sous-réseau vraiment privé sans accès à Internet.

Un sous-réseau public achemine 0.0.0.0/0 via une passerelle Internet (igw). Les instances d'un sous-réseau public nécessitent des adresses IP publiques pour parler à Internet.

L'avertissement apparaît même pour les sous-réseaux privés, mais l'instance n'est accessible qu'à l'intérieur de votre vpc.

Jason Floyd
la source
qu'est-ce qui fait que l'instance n'est accessible qu'à l'intérieur de votre vpc? si je mets une instance dans un sous-réseau privé, qu'est-ce qui arrête le trafic de l'extérieur du vpc pour y accéder. J'ai vu que par défaut , le réseau permet vpc acl tout le trafic
committedandroider
1
@committedandroider - Le trafic externe ne peut atteindre l'instance que si: Il a une IP publique assignée, il se trouve sur un sous-réseau avec la route par défaut pour 0.0.0.0/0 pointée vers une passerelle Internet (aka 'sous-réseau public'), la sécurité attribuée group autorise le trafic entrant sur le port spécifié à partir de 0.0.0.0/0, et si les ACL réseau autorisent l'ip / port. Si l'un de ces paramètres n'est pas défini correctement, le trafic public n'atteindra pas l'instance.
Jason Floyd
4

Tel que documenté ici

SOUS-RÉSEAU PUBLIC Si le trafic d'un sous-réseau est acheminé vers une passerelle Internet, le sous-réseau est appelé sous-réseau public. SOUS-RÉSEAU PRIVÉ Si un sous-réseau n'a pas de route vers la passerelle Internet, le sous-réseau est appelé sous-réseau privé.

Miguel Carvajal
la source