【发布时间】:2020-10-06 14:47:56
【问题描述】:
这个简单的问题,在文档中找不到答案。
有人知道解决这个问题的最佳做法吗?
我假设它是私有的,但想了解为什么会这样。
【问题讨论】:
标签: amazon-web-services amazon-vpc amazon-efs
【发布时间】:2020-10-06 14:47:56
【问题描述】:
您应该只将内容放在您希望从 VPC 外部访问的公共子网中。最佳做法是在您的公共子网中仅使用您的公共负载均衡器和 NAT 网关。这可以确保您的重要资源只能从 VPC 内部访问,从而确保更高级别的网络安全。
因此,在这种情况下,您可能希望将 EFS 挂载放在您的私有子网中。
【讨论】:
在 AWS 中,我们通常将私有子网用于大多数服务集成。某些服务在连接到公共子网时不起作用。例如连接到 VPC 时,如果使用公有子网,Lambda 将无法正常工作。 Glue Jobs 和 Crawlers 也是如此。
[编辑:感谢 MarkB 的贡献] 这是因为用于 Lambda 函数之类的 ENI 没有分配公共 IP 地址,只有私有 IP。因此,他们需要到 NAT 网关的路由才能访问 VPC 外部的内容,并且只有私有子网才能拥有到 NAT 网关的路由。
【讨论】:
-
如果您知道在哪里查找,文档中会清楚说明原因。这是因为像 Lambda 函数这样的 ENI 没有分配公共 IP 地址,只有私有 IP。因此,他们需要到 NAT 网关的路由才能访问 VPC 外部的内容,并且只有私有子网才能拥有到 NAT 网关的路由。
-
@MarkB 谢谢,我会记住的。