web-dev-qa-db-ja.com

AWS:NATパブリックサブネットのゲートウェイ。なぜですか?

私が理解しているように、パブリックサブネットはインターネットゲートウェイ経由でインターネットにトラフィックをルーティングできるサブネットであり、プライベートサブネットはできない(インターネットに到達できないか、そこから到達できない)サブネットです。インターネットに到達するには、プライベートサブネットがNATゲートウェイを経由してトラフィックをルーティングする必要があります。

私は実際にこのセットアップを正常に使用しているので、これを確認できます。

しかし... Amazon docs そうではありません(太字の強調は私のものです): VPC with Public and Private Subnets (NAT)

パブリックサブネットのインスタンスはインターネットから直接受信トラフィックを受信できますが、プライベートサブネットのインスタンスは受信できません。パブリックサブネットのインスタンスはインターネットに直接送信トラフィックを送信できますが、プライベートサブネットのインスタンスは送信できません。代わりに、プライベートサブネット内のインスタンスは、起動したネットワークアドレス変換(NAT)インスタンスin the public subnetを使用してインターネットにアクセスできます。

NATゲートウェイがどこにあるかは重要ですか?ある場合、それをプライベート/パブリックサブネットに配置する使用例は何ですか?

amazon-web-servicesnatsubnetamazon-vpc
5
Julian

A NATゲートウェイ(およびNATインスタンス、価値のあるもの))必須デバイスのみであるため、パブリックサブネットでは、実際にはパブリックIPアドレスを使用できます。

これがパブリックサブネットをパブリックサブネットにする理由です。

パブリックサブネットの詳細な定義は、関連付けられたVPCルートテーブルに、インターネットゲートウェイを指すルートが少なくとも1つあるサブネットですが、実際には、それは通常、(VPCルートテーブル内の)デフォルトルートがインターネットゲートウェイ。

対照的に、プライベートサブネットはそのようなルートのないサブネットです。通常、プライベートサブネットのデフォルトルートはNATデバイスを指しますが、ハードウェアVPNまたはダイレクトコネクト接続を指すこともあります。

NATデバイスがパブリックサブネット上にない場合、デバイスには(定義により)、変換したトラフィックが到達できるルートがないリーチインターネット、その発信トラフィックはそれが配置されているサブネットのルートテーブルに従うため、サブネットはNATゲートウェイが配置される-再び、定義上、パブリックサブネットである必要があります。

NATゲートウェイをパブリックサブネットに配置することによるセキュリティへの影響はありません。これは、着信接続の試行がどのような状況でも受け入れられないためです。これは誤設定することができないものです。

LAN用語で考えている場合、NATデバイスは、少なくとも2つのサブネット、外部(パブリックアドレス)サブネットと内部(プライベートアドレス)に "オン"である必要があると自然に想定されています。 )サブネット-しかし、VPCネットワークは見かけ上LANではありません。これは、イーサネットを非常にきれいにエミュレートするソフトウェア定義のレイヤー3ネットワークですが、イーサネットではありません。

9
Michael - sqlbot

パブリックアドレスとプライベートアドレスの違いは、ISPは、任意に割り当てられたプライベートアドレスを使用してパケットをルーティングしないことに同意していることです。 IPの観点からは、実際にはプライベートアドレスとパブリックアドレスに違いはなく、アドレッシングはどちらでも同じように行われます。

NATの論理的な場所は、プライベートネットワークをISPに接続する場所です。これは、プライベートアドレスでパケットをルーティングしません。これは通常、プライベートアドレス指定ゾーンのエッジにありますが、必ずしも最適な場所です。たとえば、多くの企業はプライベートアドレスとパブリックアドレスの両方を持っているため、NATは企業内のパブリックゾーンとプライベートゾーンの間にある必要はありませんが、プライベートアドレスを使用してパブリックインターネットに出入りするすべてのトラフィックに使用する会社およびISP。プライベートアドレスを持つすべてのトラフィックが会社のパブリックゾーンを経由してパブリックインターネットに到達する場合、その場所は会社のパブリックゾーンにある可能性があります。

0
Ron Maupin

NACLとルートテーブルはNATゲートウェイに適用されるため、NATゲートウェイを別のEC2インスタンスと見なすことができるため、インターネットゲートウェイにアクセスしてトラフィックをルーティングするには、パブリックサブネットに存在する必要があります。

AWSでのNAT-gatewayの他の使用法は見当たりませんが、ルートテーブルでは解決できません。

0
dy10