3
따라서 AWS의 개인 서브넷의 목적은 인스턴스의 외부 인스턴스에서 직접 액세스 할 수 없기 때문입니다. 그러나 인스턴스가 인터넷에 액세스하는 것이 유용한 인스턴스 ('인스턴스'말장난에 성공적으로 저항)가 있습니다. 그러한 사용 사례 중 하나는 예를 들어 소프트웨어 업데이트를 다운로드하는 것일 수 있습니다.AWS에서 개인 서브넷 + NAT 변환이 필요한 이유는 무엇입니까? 공용 서브넷 + 적절히 구성된 보안 그룹을 사용할 수 없습니까?
이렇게하려면 "표준"방법은 NAT 게이트웨이와 라우팅 테이블에있는 모든 아웃 바운드 트래픽 (0.0.0.0/0 -> nat-gw)을 가리키는 규칙 일 것입니다.
날이입니다 퍼즐 것은 : 은 우리가 인바운드 트래픽을 거부하고 특정 아웃 바운드 트래픽을 허용 적절히 구성된 보안 그룹 (SG)와 공공 서브넷을 사용할 수 없습니다를? SG는 상태 정보를 제공하기 때문에 NAT 게이트웨이처럼 아웃 바운드 트래픽에 대한 응답을 허용해야합니다.
내가 방금 뭔가를 놓친 것 같아요, 또는 위의 구성이 내가 볼 수없는 어떤 방식으로 제한되어 있다고 가정합니다. 그러나 나는 이것에 대한 답을 찾을 수 없다.
"제대로 구성된 보안 그룹이있는 공용 서브넷을 사용할 수는 없습니까?"-> 모든 문제에 대해 가능한 많은 솔루션이 있습니다. 확장 성 및 많은 수의 리소스/IP 지원, 위험 및 규제 준수 요구 사항 완화를위한 구역 설정 등과 같이 "다른 서브넷 (사설 또는 공용)"을 사용할 수있는 이유는 여러 가지가 있습니다. 이러한 요구 사항 중 어느 것이 든 당신이 원하는대로 설계 할 수 있습니다. – kosa
그렇다면 외부 규정 준수의 이유를 제외하고는 무엇을해야할까요? 나는 상황을 더 잘 이해하고 적절한시기와 그렇지 않은 때를 구분할 수있는 능력을 얻으려고 노력하고 있습니다. –
내가 언급했듯이, 대기업의 대부분이 나열한 것과 같은 요구 사항이 있다면 개인 + 공용 서브넷 접근 방식을 선택하게됩니다. 대부분의 경우 단 하나 (또는) 몇 개의 EC2 인스턴스가있는 경우 공용 서브넷 + SG로 이동하십시오. 그래서 어떤 접근법에 대한 구체적인 대답은 많은 요소에 달려 있습니다. 요약하면이 질문에 대한 대답은 기술 스택에만 의존하는 것이 아니라 비 기술적 상황이 주요 부분을 담당합니다. – kosa