AWS子网是否足以隔离网络？还是我们需要VPC？

Question

AWS子网是否足以将网络与所有安全组隔离？还是我们需要VPC来隔离彼此的两个应用程序？

Answer 1

默认情况下，同一VPC内部的子网没有隔离。正如Joe的答案所说，您可以使用ACL(子网级防火墙)来强制隔离和安全组，以获得更细粒度的实例级控件。

使用多个VPCs会增加相当多的开销，但如果您正在寻找一层额外的“防事故”隔离，例如，如果您希望确定配置错误的ACL不会造成损坏，则是一个很好的选择。

你所采取的策略可能取决于你需要的隔离程度：

不同的VPC(甚至不同的帐户)：

• 不同的客户(假设您的高价值客户数量较少，例如不适合应用程序的用户)，特别是如果您正在向您的客户窥视/VPN，
• 不同的环境，例如发展或推动，
• 不同的应用程序，具有非常不同的受众，例如CompanyWebsite和公司工资处理器。

不同的子网：

• 相同环境中的不同服务，例如the服务器、appserver、数据库、
• 在相同的环境中链接应用程序，例如公共the服务器和内部the服务器，它们都使用相同的数据库。

值得注意的是，您可以将VPC连接在一起，但是这是一个相对高级的特性，应该只用于更大、更复杂的网络。

Answer 2

如果配置了安全组和ACL，则Subnets可以用于隔离。但是，您需要确保为每个子网所需的隔离创建适当的ACL。

来自：https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html

根据设计，每个子网必须与网络ACL相关联。您创建的每个子网都自动与VPC的默认网络ACL相关联。可以更改关联，也可以更改默认网络ACL的内容。有关更多信息，请参见网络ACL。