1

我正在尝试在创建新 VPC 时评估私有子网和公共子网。与来自互联网的入站流量隔离是继续使用私有子网的唯一原因吗?在考虑私有子网时也需要考虑这些点。

  1. NAT 网关是收费的 - 0.045 美元/小时,每 GB 数据传输 0.045 美元。所以有成本考虑。我需要 NAT 网关来从互联网上提取代码或更新。
  2. 我应该能够通过使用具有不同严格级别的安全组来保护我的公共子网中的实例。
  3. 当启动一个实例时,我会为那些我想从 VPC 外部访问的实例分配一个公共 IP。

我经历了这个问题,但它并没有解决我对上述几点的疑问。任何帮助表示赞赏。

4

2 回答 2

1

要回答您的问题:

  1. 使用 NAT 实例 (t2.smallm3.medium) 代替 NAT 网关。便宜得多。
  2. 如果不需要接受传入的互联网流量,为什么要在公共子网中启动它们然后调整安全组。SG 规则总是有可能出现错误并无意中允许恶意流量。即使你想接受互联网流量,我建议使用反向代理,如haproxy
  3. 然后仅启动公共子网中的那些实例或使用反向代理

私有子网是一个非常有用的功能,可以保护您的实例免受 DDoS、未经授权的访问等,为方便起见,请勿绕过它。

于 2016-12-21T16:37:43.857 回答
1

来自保护服务器的 7 项安全措施

隔离的执行环境

它们如何增强安全性?

将您的流程隔离到单独的执行环境中可以提高您隔离可能出现的任何安全问题的能力。与舱壁和隔间如何帮助控制船舶的船体破裂类似,分离您的各个组件可以限制入侵者对您基础设施其他部分的访问。

那么,恕我直言,您需要私有子网吗?要看。在具有公共和私有服务、VPN、数据库等的生产环境中,是的;但是如果您只有一台服务器,并且您不想处理网络 ACL、路由、NAT 等的配置,那么您的服务器和配置良好的安全组可能就足够了。

于 2016-12-21T13:31:56.683 回答