Назад | Перейти на главную страницу

В чем преимущество использования NAT и частной подсети на AWS по сравнению с общедоступной подсетью с заблокированными группами безопасности и ACL?

Мой сценарий: у меня есть очередь SQS с автоматически масштабируемой группой рабочих EC2, обрабатывающих сообщения из очереди в базу данных в другом регионе.

Подразумеваемые сетевые потребности для сотрудников EC2:

Параметры сети (которые мне известны):

Я видел множество рекомендаций по использованию первого подхода с NAT, в том числе в собственной документации AWS. Рекомендации по второму подходу я не видел.

NAT кажется дорогим вариантом и может легко превратиться в узкое место сети и стать единственной точкой отказа. Почему так часто рекомендуется этот вариант? Есть ли недостатки или препятствия для второго подхода, о которых я не знаю?

Этот вопрос похоже, но не то же самое. Я также читал этот поток при переполнении стека. Я также прочитал Руководство пользователя AWS VPC.

Многие конфигурации должны использовать один общедоступный IP-адрес. Им нужен NAT. Весь сетевой трафик вашего сценария инициируется изнутри. (SQS опрашивается.) Для этого типа трафика нет никаких преимуществ в предоставлении экземпляра NAT.