AWS 上的公共/私有子网架构

Question

我无法理解this 图像：

具体来说，我想要的是附加到每个区域的全局加速器，每个区域都有一个 VPC 和负载均衡器。然后在一个区域的每个 AZ 中，都有一个公共子网和一个私有子网。私有子网或数据库服务器将完成所有计算和渲染。公共子网是负载均衡器（或者公共子网是否需要是一组实例？）。

公共子网还附加了一个 Internet 网关和 NAT 网关。文档说私有子网可以使用公共子网中的 NAT 网关访问互联网，但我不明白为什么它不只使用互联网网关。

我在公共子网和私有子网中有一个路由表。在公共子网中，路由表转到指向 Internet 网关的 0.0.0.0/0。在私有子网中，它转到指向 NAT 网关的0.0.0.0/0。

还有一个与 NAT 网关关联的弹性 IP，大概是我从私有服务器发出请求时互联网看到的。

我的问题是，什么与什么有关？文档在实际示例中不够清楚。我想要一个公共子网，我认为它不需要任何实例（我错了吗？），只需要负载均衡器。那么私有子网是计算/数据库子网，确实由实例组成，这些实例只能通过连接到 NAT 网关的负载均衡器连接到互联网。

我很困惑。我一遍又一遍地阅读文档，但仍然看不到应该如何连接。任何帮助解释与此图表中的内容相关的内容（将其扩展到包括全球加速器）将不胜感激。

Answer 1

当您使用 AWS Global Accelerator 时，您可以保持您的 ALB 和实例私有，而不会将它们暴露在互联网上。

最近的 AWS 博客文章中解释了这种架构：

• Accessing private Application Load Balancers and EC2 instances through AWS Global Accelerator

在此架构中，使用内部 ALB，并且没有没有公共子网。唯一的要求是在 VPC 中假装 Internet 网关。需要注意的是，即使有互联网网关，也没有为子网配置访问互联网的路由：

为避免互联网流量意外流入私有子网，我们要求在创建客户端地址保留加速器时将互联网网关连接到包含资源的 VPC。

Answer 2

请不要误会，但我不认为你真的需要你所说的一切。

我建议您从一个区域开始，不要使用全球加速器。实施您的系统并创建一个可以模拟用户流量的测试平台，或者将您的系统发布给您的客户并对其进行监控以确定性能。

• 如果您在多个区域运行，您会遇到数据保存位置的问题——数据可能会在每个区域中单独保存或复制。这一切都取决于您的需求。我建议您从简单开始，如果您需要以不同的方式进行操作，请扩展。
• Global Accelerator 在使用多个区域时没有意义，因为它旨在将流量发送到一个位置。相反， 考虑 Amazon CloudFront 将数据缓存在离客户更近的地方，以提供更好的性能。
• 如果您的应用程序在多个 Web 服务器上运行，请将负载均衡器放在公共子网中，将其他所有内容放在私有子网中。

简单地说，从简单开始。让您的应用程序以最简单的方式运行。然后，如果您有更高的要求（例如对用户的低延迟），请考虑添加 Amazon CloudFront。很少有应用程序跨越多个区域，因此请谨慎选择并有特定的理由。