Я изучаю передовые методы настройки веб-приложения на AWS. Я установил свой уровень базы данных в частной подсети. У меня также есть общедоступная подсеть для экземпляров nat, хоста-бастиона, elb и т. Д. Мой вопрос: есть ли какие-либо преимущества в развертывании моих экземпляров beanstalk в частной подсети, или я должен просто поместить их в общедоступную подсеть. Серия статей AWS, Разработка, развертывание и управление, помещает веб-серверы в частную подсеть, но я видел, как многие другие помещали их в общедоступную. Поэтому я не понимаю, куда должны идти веб-серверы, и плюсы / минусы каждого подхода.
[РЕДАКТИРОВАТЬ]:
Это общедоступный веб-сайт, а не внутренний. На всякий случай имеет значение.
По умолчанию они должны находиться в частной подсети. Основная причина этого - безопасность. Помещая свои экземпляры EC2 в общедоступную подсеть, вы открываете их для индивидуальных атак.
Есть несколько очень плохих причин, по которым люди помещают экземпляры EC2 в общедоступную подсеть:
Ни одна из вышеперечисленных причин не является уважительной.
Есть две веские причины, по которым вам могут понадобиться ваши экземпляры EC2 в общедоступной подсети:
По некоторым причинам доступ к отдельным экземплярам EC2 должен быть открыт для широкой публики. Но если у вас есть ELB, то такое бывает редко.
Вашим инстансам EC2 требуется достаточно исходящий пропускная способность при доступе к Интернету через NAT, которую не может поддерживать самый большой NAT. Чтобы решить эту проблему, ваши экземпляры могут находиться в общедоступной подсети с использованием Интернет-шлюза VPC.
Если одно из этих условий не применимо, используйте частную подсеть.