%20zu%20haben%2C%20im%20Vergleich%20dazu%2C%20in%20einem%20%C3%B6ffentlichen%20Subnetz%20keine%20%C3%B6ffentliche%20IP-Adresse%20zu%20haben%3F.png)
Szenario 2 des VPC-Leitfadens zu AWS (Hier) zeigt, wie man ein öffentliches und privates Subnetz einrichtet. Zitat:
Wir empfehlen dieses Szenario, wenn Sie eine öffentlich zugängliche Webanwendung ausführen und gleichzeitig Back-End-Server verwalten möchten, die nicht öffentlich zugänglich sind. Ein gängiges Beispiel ist eine mehrstufige Website, bei der sich die Webserver in einem öffentlichen Subnetz und die Datenbankserver in einem privaten Subnetz befinden. Sie können Sicherheit und Routing so einrichten, dass die Webserver mit den Datenbankservern kommunizieren können.
Meines Wissens nach können alle Subnetze innerhalb eines VPC mit der Art und Weise, wie die Routing-Tabelle eingerichtet ist, miteinander kommunizieren. Wenn es also um Sicherheit geht, um keinen externen Datenverkehr in einen Back-End-Server wie eine Datenbank zuzulassen, warum sollte man den Server dann nicht einfach im öffentlichen Subnetz haben und ihm KEINE öffentliche IP zuweisen? Auf diese Weise ist die gleiche Funktionalität gewährleistet: Es kann nicht von außen darauf zugegriffen werden, aber es kann mit allen anderen Servern kommunizieren. Was ist der Unterschied?
Antwort1
Wenn Sie einen Server in einem öffentlichen Subnetz, aber ohne öffentliche IP platzieren, kann dieser Knoten nie mit der Außenwelt kommunizieren – er hat keine öffentliche IP und keine Route zu einem NAT-Gateway. Dies gilt auch für AWS-Dienste oder APIs mit Endpunkten ohne VPC. Normalerweise benötigen alle Knoten irgendeine Art von externem Zugriff. Das Platzieren des Knotens in einem privaten Subnetz hilft dabei.
Es verhindert auch, dass jemand versehentlich (oder absichtlich) eine EIP oder Sicherheitsgruppe zu einem Knoten hinzufügt, wodurch ein ehemaliger privater Knoten in einen öffentlichen Knoten umgewandelt wird.