Я читал некоторые сообщения в блогах и статьи о дизайне aws vpc, чтобы узнать, есть ли какие-либо улучшения, которые нужно внести в настройку, которая в настоящее время находится на aws, когда я наткнулся на статью, в которой упоминаются «защищенные подсети» Вот.
Защищенные - внутренние подсети, которые имеют только частные IP-адреса, связанные с ресурсами, и недоступны из Интернета. Они НЕ имеют доступа к Интернету.
В настоящее время мы используем общедоступные / частные подсети во всех зонах доступности, чтобы обеспечить разделение доступа и ресурсов. Однако я не вижу варианта использования для указанного выше типа подсети (возможно, это просто не применимо к нашей ситуации?), Поскольку любые ресурсы в подсети не могут получить доступ или получить доступ извне vpc.
Есть ли какие-нибудь распространенные сценарии, в которых защищенная подсеть может пригодиться?
Есть много причин. Вот несколько, но гораздо больше случаев.
БЕЗОПАСНОСТЬ:
При запуске экземпляров в частных подсетях к ним нельзя получить доступ из общедоступного Интернета. К этим экземплярам можно получить доступ другими способами, например, через балансировщики нагрузки.
СТАБИЛЬНОСТЬ:
Вы можете захотеть заблокировать экземпляры, которые не меняются, то есть без патчей, обновлений программного обеспечения и т. Д. Я использую этот чехол все время. Когда мы хотим обновить экземпляр, мы фактически развертываем новые AMI и не обновляем экземпляры. Мы тестируем новые AMI со всеми новыми исправлениями перед развертыванием.
ГИБРИДНАЯ СРЕДА:
В этом случае частные подсети имеют только VGW (виртуальный частный шлюз), который разрешает доступ из частного центра обработки данных для доступа к экземплярам в частной подсети. Экземпляры Active Directory могут быть примером этого.
Примечание. Тот факт, что экземпляр находится в частной подсети, не означает, что в определенные желаемые моменты времени экземпляры не могут получить доступ к Интернету. Добавление шлюза NAT, экземпляра NAT и т. Д. На определенный период времени позволит получить доступ в Интернет (от экземпляра к Интернету).