1. Accueil
  2. Question et réponse
  3. Options de sous-réseaux privés dans AWS

Options de sous-réseaux privés dans AWS

2016-10-28 2 views
0

J'ai commencé à tripoter aws il y a quelques jours et j'ai une question sur les VPC. J'envisage deux options pour faire « privé » un sous-réseau et je veux connaître votre opinion:Options de sous-réseaux privés dans AWS

OPTION 1:
Un sous-réseau avec un ig attaché (un sous-réseau public vraiment) avec une ACL autorise uniquement le trafic provenant du VPC.
Pour: moins cher!
Inconvénients: ip publique pour chaque instance (? Est-ce un vrai problème), différent du public Ip pour chaque instance (une sorte de choses en désordre pour les listes blanches de ip)

OPTION 2:
Un sous-réseau sans un ig attaché en utilisant une passerelle Nat.
Pour: plus sécurisé?, Même IP public pour chaque instance.
Les inconvénients: plus cher.

Je considère l'Option 2 comme la meilleure solution technique, mais un peu plus onéreuse. Mais considérez-vous l'option 1 comme une mauvaise pratique? A plus d'embûches que je ne vois pas?

Source

2016-10-28 Franco

+0

Pourquoi Option2 est-il cher? à cause du NAT? – helloV

+0

Oui! Cependant, je suis intéressé par les pièges de la version 1, même si a le même coût de l'option 2. – Franco

+0

Option 3, utilisez une instance NAT, pas une passerelle NAT. Un t2.nano ou t2.micro suffira habituellement, pour 5 $ à 10 $/mois. –

Répondre

1

Il semble que vos besoins sont les suivants:

  • exécuter certains instances Amazon EC2
  • les empêcher de l'Internet "privé" (pas d'accès direct à l'Internet aux instances)
  • Autoriser les instances pour accéder à Internet (par exemple pour télécharger des mises à jour, ou pour communiquer avec les terminaux API AWS)

Votre Option 1 est une unité centrale sous-réseau blic, rendu privé en modifiant les ACL réseau pour autoriser le trafic uniquement dans le sous-réseau. Vous donnez des adresses IP publiques aux instances, sans doute pour qu'elles puissent accéder à Internet. Cela ne fonctionnera pas. Les ACL réseau qui limitent l'accès au VPC bloquent également le trafic des instances vers Internet.

Votre Option 2 est un sous-réseau privé, avec des instances accédant à Internet via une passerelle NAT. Il est pas besoin d'attribuer des adresses IP publiques à ces instances, car ils sont dans un sous-réseau privé. Oui, cela fonctionnera mais, comme vous le constatez, il y a la dépense supplémentaire de la passerelle NAT (ou d'une instance NAT).

Une alternative est d'utiliser un sous-réseau publique avec les groupes de sécurité:

  • Utilisez un sous-réseau public et donner des exemples d'adresses IP publique attribuée automatiquement. Cela leur permettra d'accéder à Internet.
  • Utilisez un groupe de sécurité sur chaque instance pour bloquer l'accès entrant: (Remarque Ceci est différent à un élastique Adresse IP, qui est limité à 5 par région et par compte AWS.).Les instances seront toujours en mesure d'initier l'accès sortant à Internet (et les réponses vont revenir parce que les groupes de sécurité sont stateful)

Voir la documentation: Amazon EC2 Security Groups for Linux Instances

Bien sûr, étant donné que les cas maintenant bloquer le trafic entrant, vous aurez besoin d'un moyen de se connecter à eux. Cela se fait généralement en lançant un Bastion Server (Jump Box) dans votre sous-réseau public. Vous pouvez vous connecter au Bastion Server via une adresse IP publique, puis vous connecter aux serveurs privés via leur adresse IP privée. Pour autoriser cela, configurez le groupe de sécurité sur les instances privées pour autoriser le trafic entrant à partir de la plage IP du VPC ou du groupe de sécurité associé au serveur Bastion.

Source

2016-10-30 08:28:26

 Questions connexes

  • Aucun problème connexe^_^