No Amazon VPC, o assistente de criação de VPC permite criar uma única "sub-rede pública" ou fazer com que o assistente crie uma "sub-rede pública" e uma "sub-rede privada". Inicialmente, a opção de sub-rede pública e privada parecia boa por motivos de segurança, permitindo que servidores da Web fossem colocados em sub-redes públicas e servidores de banco de dados para irem para a sub-rede privada.
Mas aprendi que as instâncias do EC2 na sub-rede pública não podem ser acessadas pela Internet, a menos que você associe um Amazon ElasticIP à instância do EC2. Assim, parece que com apenas uma única configuração de sub-rede pública, pode-se optar por não associar um ElasticIP aos servidores de banco de dados e acabar com o mesmo tipo de segurança.
Alguém pode explicar as vantagens de uma configuração de sub-rede pública + privada? As vantagens dessa configuração têm mais a ver com escalonamento automático ou, na verdade, é menos seguro ter uma única sub-rede pública?
É um limite de segurança ter uma sub-rede privada que você pode controlar com diferentes grupos de segurança da sub-rede pública. Se uma de suas instâncias na sub-rede pública foi invadida, será muito mais difícil invadir instâncias na sub-rede privada se você não for liberal demais em suas políticas de acesso.
Além das implicações de segurança, há também outro aspecto: se você deseja permitir que instâncias sem IPs elásticos acessem a Internet, talvez seja necessário ter duas (ou mais) sub-redes diferentes.
Parafraseando a documentação da AWS , em uma VPC há três maneiras de permitir o acesso à instâncias da Internet:
A terceira opção é a interessante, pois a instância NAT tem que ficar dentro de uma sub-rede "pública", onde todo o tráfego de saída é roteado para um Gateway da Internet, mas todas as outras instâncias precisam ficar em uma sub-rede "privada". o tráfego de saída é roteado para a instância NAT.
Em suma, se você planeja usar um NAT, precisa de pelo menos duas sub-redes.