AWS VPC-为什么根本没有专用子网？

在Amazon VPC中，VPC创建向导允许创建一个“公共子网”，或者让该向导创建“公共子网”和“私有子网”。最初，出于安全原因，公用和专用子网选项似乎不错，它允许将Web服务器放置在公用子网中，而将数据库服务器放置在专用子网中。

但是我此后才知道，除非您将Amazon ElasticIP与EC2实例相关联，否则无法从Internet访问公共子网中的EC2实例。因此，似乎只有一个公共子网配置，就可以选择不将ElasticIP与数据库服务器关联，并最终获得相同的安全性。

谁能解释一下公共+私有子网配置的优势？此配置的优势更多是与自动缩放有关，还是只有一个公共子网实际上安全性较低？

拥有一个私有子网是一个安全边界，您可以使用公共子网中的不同安全组来控制它。如果您的公共子网中的一个实例被黑客入侵，那么如果您的访问策略不太宽松，那么入侵私有子网中的实例就会困难得多。

除了安全性问题外，还有另一个方面起作用：如果要允许没有弹性IP的实例访问Internet，则可能需要2个（或更多）不同的子网。

解释一下VPC中的AWS文档，有三种允许实例访问Internet的方法：

1. 弹性IP-但我认为默认情况下您只能获得5个，然后您需要支付更多费用
2. 通过虚拟专用网关路由流量-这要求您具有到公司（或家庭）网络的硬件VPN连接
3. 设置NAT实例并通过NAT路由所有出站流量

第三种选择很有趣，因为NAT实例必须位于“公共”子网中，所有出站流量都路由到Internet网关，而所有其他实例必须位于“私有”子网中，所有出站流量都在其中路由到NAT实例。

简而言之，如果您打算使用NAT，则至少需要2个子网。