Amazon EC2: instace в общественной подсети без публичного IP против, например, в частном подсети

Question

У меня есть VPC, созданный по сценарию 2: http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html

При создании экземпляра в публичной подсети, я данный выбор:

1- Не связывая публичный IP к экземпляру

2- Ассоциирование публичного IP, который может изменяться, когда экземпляр перезапускается

3- Ассоциирование упругого IP

Мой вопрос: в чем разница между безопасностью между созданием экземпляра в публичной подсети, но без публичного IP (вариант 1) и созданием экземпляра в частной подсети? Я знаю, что частные экземпляры находятся за NAT, но действительно ли это добавляет соответствующий уровень безопасности? Разве я не был бы защищен публичным экземпляром без публичного IP-адреса, принадлежащего здоровой группе безопасности?

Answer 1

Отъезд answer about the difference between private and public subnets in AWS.

Вкратце, различие находится на сетевом уровне, при этом возникающая в результате позиция безопасности аналогична. Экземпляр в общедоступной подсети без общедоступного маршрутизируемого адреса не сможет принимать входящие соединения и не выполнять исходящие соединения без присоединенного EIP-адреса, даже если группа безопасности в противном случае разрешила бы это. (Так, например, вам нужно будет подключить EIP только к SSH в экземпляр.) По сути, это защитный блок, тогда как NAT позволяет вам точно настроить доступ, как вы обычно ожидаете.

Вы также можете узнать больше о instance addressing in the AWS User Guide.