Lorsque je lance un serveur avec un groupe de sécurité qui autorise tout le trafic vers mon sous-réseau privé, il affiche un avertissement indiquant qu'il peut être ouvert au monde.
S'il s'agit d'un sous-réseau privé, comment est-ce possible?
Lorsque je lance un serveur avec un groupe de sécurité qui autorise tout le trafic vers mon sous-réseau privé, il affiche un avertissement indiquant qu'il peut être ouvert au monde.
S'il s'agit d'un sous-réseau privé, comment est-ce possible?
Réponses:
La principale différence est la route pour 0.0.0.0/0 dans la table de route associée.
Un sous-réseau privé définit cette route vers une instance NAT. Les instances de sous-réseau privé n'ont besoin que d'une adresse IP privée et le trafic Internet est acheminé via le NAT dans le sous-réseau public. Vous pouvez également ne pas avoir de route vers 0.0.0.0/0 pour en faire un sous-réseau vraiment privé sans accès à Internet.
Un sous-réseau public achemine 0.0.0.0/0 via une passerelle Internet (igw). Les instances d'un sous-réseau public nécessitent des adresses IP publiques pour parler à Internet.
L'avertissement apparaît même pour les sous-réseaux privés, mais l'instance n'est accessible qu'à l'intérieur de votre vpc.
Tel que documenté ici
SOUS-RÉSEAU PUBLIC Si le trafic d'un sous-réseau est acheminé vers une passerelle Internet, le sous-réseau est appelé sous-réseau public. SOUS-RÉSEAU PRIVÉ Si un sous-réseau n'a pas de route vers la passerelle Internet, le sous-réseau est appelé sous-réseau privé.