Есть ли способ перечислить или определить, какие подсети являются общедоступными, а какие частные, с помощью aws cli?
aws ec2 describe-subnets перечисляет все, но я не вижу очевидных идентификаторов, которые могут быть общедоступными или частными.
Затем я схватил aws ec2 describe-route-tables --filter Name="association.subnet-id",Values="$subnet" чтобы увидеть, есть ли в таблице маршрутов какая-либо идентифицирующая информация, и, на мой неопытный взгляд, я также не вижу там никакой общедоступной / частной информации.
Есть ли еще один звонок, на который мне следует посмотреть?
"Частный" (в отличие от "общедоступного") не является буквальным атрибутом конфигурации подсети.
Он получен из связанной таблицы маршрутов подсети ... хотя и не является буквальным атрибутом конфигурации таблицы маршрутов.
Официальное определение:
Если трафик подсети направляется на интернет-шлюз, эта подсеть называется общедоступной подсетью.
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html
Это означает напрямую к интернет-шлюзу, а не через шлюз NAT, экземпляр NAT, виртуальный частный шлюз или другое устройство типа шлюза.
Как обычно, общедоступная подсеть - это подсеть, связанная с ней таблица маршрутов имеет маршрут по умолчанию, который указывает на объект Интернет-шлюза ... хотя это также может быть подсеть с таблицей маршрутов, в которой только определенные пункты назначения маршрутизируются непосредственно на Интернет-шлюз. , и это по-прежнему будет публичной подсетью.
Поскольку конфигурация обладает некоторой гибкостью, четкого разграничения нет. Для практических целей любые подсети, которые связаны с таблицами маршрутов с маршрутами, указывающими на Интернет-шлюз, обычно можно считать «общедоступными» подсетями, а остальные будут «частными», поэтому процесс обнаружения будет сводиться к обходу иерархии, начиная с с другой стороны, из VPC → Таблицы маршрутов (те, у которых маршруты IGW = public) → связанные подсети для этих таблиц маршрутов.