Каково различие между общедоступной и частной подсетью в VPC Amazon?
Я сделал следующее:
ifconfig br0.5 192.168.1.100 netmask 255.255.255.0...Затем я пытался проверить с помощью ping-запросов с br0.5 на мой маршрутизатор, который имеет192.168.1.1IP...
Необходимо использовать отдельную подсеть для этих двух сетей. Таким образом, VLAN 1 в настоящее время 192.168.1.0/24, Вы могли бы хотеть использовать 192.168.5.0/24 для своего VLAN 5.
Основное отличие - это маршрут для 0.0.0.0/0 в связанной таблице маршрутов.
Частная подсеть устанавливает этот маршрут к экземпляру NAT. Экземплярам частной подсети нужен только частный IP-адрес, а интернет-трафик маршрутизируется через NAT в общедоступной подсети. У вас также может не быть маршрута к 0.0.0.0/0, чтобы сделать его действительно частной подсетью без доступа к Интернету или выхода.
Общедоступная подсеть направляет 0.0.0.0/0 через Интернет-шлюз ( igw). Экземпляры в общедоступной подсети требуют общедоступных IP-адресов для связи с Интернетом.
Предупреждение появляется даже для частных подсетей, но экземпляр доступен только внутри вашего vpc.
Așa cum este documentat aici
SUBRETA PUBLICĂ Dacă traficul unei subrețele este direcționat către un gateway de internet, subrețeaua este cunoscută sub numele de subrețea publică. SUBREEA PRIVATĂ Dacă o subrețea nu are o rută către gateway-ul de internet, subrețeaua este cunoscută sub numele de subrețea privată.
Тема этого вопроса отличается от актуальной проблемы, описанной выше. Эта тема также важна и широко используется в Интернете , и именно из-за этого другие веб-сайты имеют гораздо более высокие взгляды на ту же тему, поскольку она здесь не определена, если могут использоваться как общедоступные, так и частные подсети. В инет скачивать обновления и пакеты то в чем разница между ними? Тогда оба должны быть общедоступными, но позвольте мне прояснить это и добавить свой ответ с точки зрения AWS, а также с концептуальной и практической точки зрения.
Ответ темы:
Общедоступные и частные подсети - это название концепции, а не отдельная сущность.
Ответ на актуальную проблему, которая задается
Предупреждение Верно технически, я предполагаю, что вы говорите о входящем трафике, а не об исходящем, потому что если вы хотите скачать программное обеспечение, пакеты, обновления, поэтому вам нужно добавить каждый IP-адрес в Исходящий, который практически не хорош и требует много времени. предупреждение касается других сетей и частных классов
Например: , если вы добавляете правило в группу безопасности частной подсети, например Inbound 0.0.0.0/0, так что это не значит, что он доступен для Public, и кто-то может отправить запрос этому экземпляру / службе / машине, что фактически это означает, что другие частные подсети или частные сети могут общаться с вашим экземпляром или службами, например 192.168.x.x, 172.16.x.x, 10.0.0.0 Частные классы, что возможно только в том случае, если вашим маршрутам разрешено это делать. Кроме этого, вы можете игнорировать это предупреждение и не беспокойтесь об этом. Здесь вы должны понимать разницу между Из Интернета и В Интернет , чтобы в соответствии с правилами группы безопасности и справочной информацией вы получили предупреждение, которое может быть неправильно истолковано кем угодно. .
Путаница
Когда вы создаете подсеть в AWS VPC, есть опция Автоматическое назначение Общедоступный IPv4 Это основная проблема, которая сбивает с толку люди, если для него установлено значение "Да", ваша подсеть является общедоступной, независимо от того, что имя или ключ-значение, которое вы пометили для подсети, что означает, что во время создания подсети, если вы используете имя вроде частной подсети-A, это не означает ее частную подсеть, это зависит от вашего варианта использования и конфигураций ( Параметр автоматического назначения общедоступного IP-адреса).
Разница между общедоступной и частной подсетью:
Экземпляры в общедоступной подсети могут быть доступны из Интернета, что означает, что трафик из Интернета может попасть на машину / экземпляр / службу в общедоступной подсети. Обычно вы храните такие вещи, как балансировщики нагрузки, веб-серверы в общедоступной подсети.Поэтому, когда вы создаете их, вы добавляете имя Public перед ними, чтобы они были отделены от других, и не имеет значения, что вы включили Автоматическое назначение общедоступного IPv4 , но каждый раз, когда вы выбираете общедоступную подсеть, которая вы отметили Public, вам необходимо установить или включить опцию Auto-assign Public IPv4 при запуске экземпляра EC2 или RDS / Service.Но лучше, если вы включите Автоматическое назначение общедоступного IPv4 на уровне подсети, чтобы сделать его должным образом общедоступным, потому что это причина, по которой вы вносите изменения и используете концепцию Public-Private, поэтому всякий раз, когда вы запускаете какую-либо службу / экземпляр / компьютер в общедоступной подсети, он будет доступен из Интернета и в Интернет, это означает, что вы можете использовать службу / экземпляр через Интернет, а также можете загружать обновления и пакеты в службе / экземпляре. Вы можете проверить, кто выходит в Интернет, просто набрав команду curl wgetIP.com , и в результатах вы увидите публичный IP-адрес вашего экземпляра / машины.
«Потому что, когда вы запускаете экземпляр в подсети, в которой включен этот атрибут, общедоступный IP-адрес назначается основному сетевому интерфейсу (eth0), созданному для экземпляра. Общедоступный IP-адрес сопоставляется с основным частным IP-адрес через преобразование сетевых адресов (NAT). " ..... сказал, AWS .
Экземпляры в частной подсети недоступны из Интернета. Например. вы можете поместить сервер базы данных, сервер Redis или подобные другие службы в частную подсеть, и никто не сможет получить к ним доступ из Интернета. Он будет доступен только через экземпляры / машины / службы в общедоступной подсети (веб-сервер, ELB и т. Д.). Потому что у него нет опции общедоступного IP-адреса, а также мы пометили его как частный для конкретного использования, как объяснение, для безопасности и нежелательного доступа через Интернет. Это хорошо для безопасности на уровне архитектуры, чтобы избежать лазеек.Чтобы получить доступ к этим службам / экземплярам частной подсети, вы должны добавить разрешающее правило в группу безопасности и добавить правильные маршруты в таблицу маршрутов.
Теперь вопрос:
Может ли частная подсеть подключаться к Интернету?
Итак, ответ: по умолчанию нет ,
Если вы хотите получить доступ к Интернету через частную подсеть или подсеть без общедоступного IP-адреса или подсеть с отключенным Автоматическое назначение общедоступного IPv4 , вам необходимо создать экземпляр NAT или NAT-шлюз, и это NAT-шлюз должен иметь общедоступный IP-адрес, чтобы ваша служба / экземпляр с частным IP-адресом выходила в Интернет и могла загружать обновления, программное обеспечение и пакеты.
Частный IP-адрес будет направлять трафик на NAT-шлюз, а NAT-шлюз будет направлять на Интернет-шлюз. После этого может начаться ваше общение из частных подсетей в Интернет, вы можете проверить свой IP, просто выполнив команду curl wgetIP.com , она выдаст вам общедоступный IP-адрес NAT-шлюза, потому что NAT-шлюз будет выходить в Интернет. для вас и Интернет-шлюз - это путь внешнего общения с миром, и это термин в сети, а также передача трафика от входящего к исходящему. Можно просто понять его главные ворота здания за выход.
Заключение Экземпляры в общедоступной подсети могут отправлять исходящий трафик непосредственно в Интернет, тогда как экземпляры в частной подсети - нет. Вместо этого экземпляры в частной подсети могут получить доступ к Интернету с помощью шлюза преобразования сетевых адресов (NAT), который находится в общедоступной подсети.Серверы баз данных могут подключаться к Интернету для обновления программного обеспечения с помощью шлюза NAT, но Интернет не может устанавливать соединения с серверами баз данных ». ..... сказал, AWS
Ссылки:
Доступ в Интернет: https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html
Основы VPC и подсетей: https://docs.aws.amazon.com/vpc/latest /userguide/VPC_Subnets.html
VPC с общедоступными и частными подсетями (NAT): https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html
Различие между "public" и «частные» подсети в AWS VPC определяются только тем, подключен ли к подсети интернет-шлюз (IGW). Из документов AWS:
Если подсеть связана с таблицей маршрутов, в которой указан маршрут к интернет-шлюзу, она называется общедоступной подсетью. Если подсеть связана с таблицей маршрутов, в которой нет маршрута к интернет-шлюзу, она называется частной подсетью.
IGW позволяет сетевому трафику из Интернета достигать конечных точек внутри подсети.
Чтобы ответить на ваш второй вопрос:
Когда я запускаю сервер с группой безопасности, которая разрешает весь трафик в мою частную подсеть, он отображает предупреждение о том, что он может быть открыт для всего мира.Если это частная подсеть, как это может быть?
Похоже, AWS не проверяет, есть ли в выбранной вами подсети таблица маршрутов с IGW или нет, при отображении этого предупреждения.Это общее предупреждение, которое они всегда показывают, когда вы настраиваете экземпляр с группой безопасности, включающей весь входящий трафик. Они используют «может быть» (в отличие от «будет»), чтобы прикрыть свои задницы, но предупреждение актуально только в том случае, если вы находитесь в общедоступной подсети.