在AWS 雲端環境中,子網路是VPC(虛擬私有雲)的一部分,它們決定了資源如何與外部世界或同一網路中的其他資源通訊。在設計雲端基礎架構時,理解公有子網路和私有子網路之間的差異至關重要。公有子網路允許實例與互聯網直接通信,而私有子網路則透過NAT 網關或VPN 等方式進行外部通信,通常用於需要更高安全性和控制的場景。了解這兩者的特點,有助於優化網路架構的安全性和效能。
公有子網
公有子網是可從網際網路直接存取的子網路。公有子網路中的實例可以透過連接到VPC 的互聯網網關(IGW)從互聯網發送和接收流量。
主要特點:
- 路由表:公共子網路的路由表必須具有將所有網際網路綁定流量(0.0.0.0/0)導向至網際網路閘道(IGW)的路由。
- 用例:這些子網路通常用於需要直接存取網際網路的資源,例如Web 伺服器、堡壘主機或負載平衡器。
- 訪問:公共子網路中的實例被指派公共IP(或彈性IP)以直接與網際網路通訊。
私有子網路
私有子網路與直接網路存取隔離。除非套用特定配置,否則私有子網路中的執行個體無法從網際網路傳送或接收流量。
主要特點:
- 路由表:私有子網路的路由表不包含到網際網路閘道(IGW)的直接路由。
- 透過NAT 閘道(NGW) 存取網際網路:雖然私有子網路中的實例沒有公用IP,但它們可以透過NAT 閘道(NGW)或公共子網路中的NAT 執行個體會存取網際網路進行出站通訊(例如,下載更新)。
如何區分AWS 中的公有子網路和私有子網路
您可以透過檢查公用子網路和私有子網路與Internet 閘道(IGW) 或NAT 閘道(NGW) 的關聯來區分它們:
- 公共子網路:
- 路由表包含到IGW 的路由。
- 實例具有公用IP。
- 私有子網路:
- 路由表不包含到IGW 的直接路由。
- 可能有一條到NAT 閘道(NGW) 的路由,用於出站網際網路存取。
總之,AWS 中的公有子網路和私有子網路在網路存取控制、安全性和通訊方式上各有不同。公有子網路適合需要直接連接網際網路的資源,如Web 伺服器,而私有子網路則更適合存放需要更高保護的資料庫或應用程式。正確配置這兩種子網,可以確保在確保安全的同時,提高系統的靈活性和可擴充性。
