Назад | Перейти на главную страницу

Публичная и частная подсеть в VPC

IANA установила определенные блоки IP в качестве диапазона частных IP (показано ниже)

    10.0.0.0 – 10.255.255.255   (255.0.0.0)
    172.16.0.0 – 172.31.255.255  (255.255.0.0)
    192.168.0.0 – 192.168.255.255  (255.255.255.0)

Общедоступные IP-адреса будут выдаваться интернет-провайдером и иметь диапазон номеров от 1 к 191 в первом октете, за исключением диапазонов частных адресов, начинающихся с 10.0.0 для частных сетей класса А и 172.16.0 для частных адресов класса B.

Чтобы разделить VPC на одну частную подсеть и одну общедоступную подсеть для каждой зоны (как показано ниже):

Сервер приложений находится в частной подсети.

Шлюз NAT и сервер-бастион находятся в общедоступной подсети

1) Нужно ли использовать частный диапазон IP (только) для двух частных подсетей?

2) Нужно ли использовать диапазон общедоступных IP-адресов (только) для двух общедоступных подсетей?

Весь VPC имеет один большой блок частных адресов, например 10.20.0.0/16 и в ваших подсетях есть фрагменты этого блока, например

  • public-az1 и public-az2 будет 10.20.0.0/24 и 10.20.1.0/24
  • частный-az1 и частный-az2 будет 10.20.2/24 и 10.20.3.0/24

Кроме того, экземпляры EC2 в общественный подсети могут иметь Публичный IP или Эластичный IP назначен. Они выделяются AWS один за другим и назначаются отдельным экземплярам по запросу.

Обновить: обратитесь к моему другому ответу для подробностей: Шлюз NAT для инстансов ec2

Обычно в VPC есть 2 типа подсетей:

  1. Публичная подсеть

    • имеет IGW и опционально NAT
    • 0.0.0.0/0 там указывает на IGW
    • хосты (экземпляры EC2) получают свои основные частные IP-адреса из диапазона VPC (10.20.0.0/16), но также ...
    • хозяева должны иметь публичный IP или эластичный IP прикреплены, поскольку они выходят прямо в Интернет
    • с хостами можно связаться из Интернета по этому общедоступному / эластичному IP-адресу (если Группа безопасности разрешения)

  2. Частная подсеть

    • не имеет IGW или NAT
    • то 0.0.0.0/0 указывает на NAT в общедоступная подсеть выше
    • узлы имеют только частный IP из диапазона VPC, и весь исходящий доступ «замаскирован» для IP-адреса шлюза NAT.
    • узлы могут инициировать подключения к Интернету, но с ними нельзя связаться извне, поскольку они «спрятаны» за NAT (шлюз трансляции сетевых адресов).
    • без NAT хосты не будут иметь доступа в Интернет

Надеюсь, это проясняет это :)

Вы можете использовать любой блок IP / CIDR внутри своего AWS VPC, так как VPC IP / CIDR виден только вашим ресурсам внутри VPC, а не за пределами AWS. Любое взаимодействие с Интернетом осуществляется с использованием эластичных IP-адресов, также известных как общедоступные IP-адреса.

Единственное, о чем следует помнить, - если вы хотите взаимодействовать с другими VPC, у вас не должно быть перекрывающихся блоков CIDR.

Вам необходимо использовать частные IP-адреса для всех подсетей.

Экземпляр с общедоступным IPv4-адресом (автоматически назначаемым / динамическим или статическим / EIP) в VPC не знает своего общедоступного IP-адреса. Например, ifconfig на экземпляре сервера Linux с общедоступным IP-адресом будет не показать общедоступный IP - он покажет частный IP. Интернет-шлюз выполняет статический NAT 1: 1 между назначенным устройством общедоступным IP-адресом и фактическим частным IP-адресом устройства.

Интернет-шлюз служит двум целям: предоставить цель в таблицах маршрутов VPC для маршрутизируемого из Интернета трафика и выполнить преобразование сетевых адресов (NAT) для экземпляров, которым были назначены общедоступные адреса IPv4.

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html

Интернет-шлюз не делает этого для экземпляров без общедоступного IP-адреса, поэтому вам понадобится один или несколько шлюзов NAT для этих экземпляров для доступа в Интернет.