Mom*_*kov 7 nat subnet amazon-web-services aws-security-group
因此,AWS中私有子网的目的是使其实例无法直接从外部访问.然而,有些情况(成功抵制'实例'双关语),其中实例可以访问互联网.一个这样的用例可以是例如下载软件更新.
实现这一目标的"标准"方法是使用NAT网关和路由表中的规则,将所有出站流量指向它(0.0.0.0/0 - > nat-gw).
令我困惑的是:我们不能只使用具有正确配置的安全组(SG)的公有子网来拒绝入站流量并允许特定的出站流量吗?由于SG是有状态的,它们应该允许对出站流量的响应通过,就像NAT网关一样.
我假设我只是遗漏了一些东西,或者上面的配置在某些方面受到限制,我只是没有看到.但是我无法找到答案.
简单的答案是......你是对的!
您当然可以在公共子网中启动所有内容,并使用安全组来控制实例之间的流量并限制来自Internet的入站访问.
人们使用公共和私有子网,因为这是传统设计网络的方式,当防火墙仅存在于子网之间时.安全组是在弹性网络接口上工作的附加安全层,但对于许多网络专业人员(包括设计合规性要求的人员)而言,这有点可怕和新的.
| 归档时间: |
|
| 查看次数: |
447 次 |
| 最近记录: |