我正在阅读一些关于 AWS VPC 设计的博客文章和文章,想看看 AWS 上当前的设置是否可以改进,这时我看到了一篇提到“受保护子网”的文章这里。
受保护 – 内部子网仅具有与资源关联的私有 IP 地址,并且无法从互联网访问。它们无法访问互联网。
我们目前在所有可用区中使用公有/私有子网来确保访问和资源的隔离。但是,我没有看到上述子网类型的用例(也许它不适用于我们的情况?),因为子网内的任何资源都无法访问,也无法从 vpc 外部访问。
受保护的子网在哪些常见场景中会发挥作用?
答案1
原因有很多。这里只列举了几个,但还有很多其他情况。
安全:
通过在私有子网中启动实例,它们无法从公共互联网访问。这些实例可以通过其他方式访问,例如通过负载均衡器。
稳定:
您可能需要锁定不会更改的实例,这意味着没有补丁、没有软件更新等。我一直使用这种情况。当我们想要更新实例时,我们实际上会部署新的 AMI,而不会更新实例。我们在部署之前使用所有新补丁测试新的 AMI。
混合环境:
在这种情况下,私有子网仅具有 VGW(虚拟私有网关),允许从私有数据中心访问私有子网中的实例。Active Directory 实例就是一个例子。
注意:实例位于私有子网中并不意味着在某些特定时间点实例无法访问互联网。通过添加 NAT 网关、NAT 实例等,一段时间内将允许互联网访问(从实例到互联网)。
答案2
我确实为 RDS 数据库和负载均衡器后面的 EC2 实例使用了私有子网。它们不能被公众直接访问,但 VPC 中的其他资源可以在内部访问它们,并且可以通过 NAT 网关与外部通信。