Amazon VPC中的公共子网和私有子网有什么区别？

29

当我启动带有安全组的服务器时，该安全组允许所有流量都进入我的专用子网，它会显示一条警告，称它可能对世界开放。

如果是私有子网，那怎么可能？

networking amazon-web-services amazon-vpc

— 开发者
source

4

这意味着，如果您要向实例添加EIP并且默认路由为IGW，则可以从世界上访问它。SG不会阻止访问。

— Mark Wagner

29

主要区别在于相关路由表中0.0.0.0/0的路由。

专用子网设置了路由到NAT实例的路由。专用子网实例仅需要一个专用IP，Internet流量将通过公共子网中的NAT路由。您也可能没有通往0.0.0.0/0的路由，以使其成为真正的私有子网，而没有进出Internet。

公共子网通过Internet网关（igw）路由0.0.0.0/0。公共子网中的实例需要公共IP才能与Internet对话。

该警告即使对于私有子网也会出现，但是该实例只能在您的vpc内部访问。

— 杰森·弗洛伊德（Jason Floyd）
source

是什么使它只能在您的vpc内部访问该实例？如果我将实例放在专用子网中，是什么阻止了来自vpc外部的流量到达它。我看到默认情况下，vpc网络acl允许所有流量

— 提交

1

@committedandroider-外部流量仅在以下情况下才能到达该实例：已分配了公共IP，它位于子网中，默认路由为0.0.0.0/0指向互联网网关（又称为“公共子网”），已分配安全性如果网络ACL允许ip / port，则group允许从0.0.0.0/0到指定端口的传入流量。如果其中任何一个设置不正确，公共流量将不会到达实例。

— 杰森·弗洛伊德

4

作为记录在这里

公共子网如果将子网的流量路由到Internet网关，则该子网称为公共子网。 私有子网如果子网没有到Internet网关的路由，则该子网称为私有子网。

— 米格尔·卡瓦哈尔（Miguel Carvajal）
source