为 AWS NLB 配置公有子网,同时将方案配置为内部是否有意义?
具有公共子网的NLB意味着它可以直接接收来自公共互联网的请求。
但是,“内部”NLB 在专用网络内使用,无法从 Internet 访问。它有一个解析为私有 IP 地址的 DNS 名称。
因此,如果我将 NLB 配置为
公共子网
“内部”方案
这意味着NLB仍然可以从公共互联网访问,但黑客无法使用NLB的DNS名称来访问它。
如果黑客以某种方式知道 NLB 的公共 IP 地址,他们仍然可以通过 DDoS 附加 NLB。
我说得对吗?
NLB 的公共 IP 地址是否会被黑客知道?
因此,如果我将 NLB 配置为
公有子网
“内部”方案
这意味着NLB仍然可以从公共互联网访问,但黑客无法使用NLB的DNS名称来访问它。
不,你错了。它“不”意味着可以通过互联网访问它。具有内部方案的 NLB 不会被分配公共 IP 地址,无论其部署到什么类型的子网中。它只会拥有从 VPC 的 CIDR 块分配给它的私有 IP 地址。 VPC 之外的任何内容都无法通过内部方案访问 NLB。 公有子网只是具有到 Internet 网关的路由的子网。公共子网中的任何内容
都可以有一个直接分配给它们的公共IP地址,并可在互联网上使用。然而,这并不是公共子网中所有资源的要求,并且您绝对可以在公共子网中拥有没有分配公共 IP 的资源。 将内部 NLB 放置在公共子网中并没有多大意义,您不妨将其放置在私有或隔离子网中。
如果您希望以任何方式从 Internet 访问您的 NLB,它必须具有公共方案(以便为它分配公共 IP),并且它必须位于公共子网中(以便它具有直接到互联网的网络路由)。