为什么我们在VPC需要私有子网？

我没有在迈克尔的回答中添加评论的名声，因此添加了我的评论作为回答。

值得注意的是，与运行您自己的实例相比，AWS 托管网关的成本比现在高出约 3 倍。当然，这是假设您只需要一个NAT实例（即您没有为故障转移等配置多个NAT实例），这对于大多数中小型用例场景通常是正确的。假设每月通过 NAT 网关传输 100GB 的数据传输量，

托管NAT实例每月成本=33.48美元/月（0.045美元/小时*每月744小时）4.5美元（每处理GB数据0.045美元*100GB）10美元（通过NAT网关传输的所有数据的0.1美元/GB标准AWS数据搬迁费用）=47.98美元

配置为NAT实例的t2.nano实例= $ 4.84/月($0.0065 * 744小时/月)$10(通过NAT实例传输的所有数据的0.10美元/GB标准AWS数据传输费用)= $14.84

当您选择冗余NAT实例时，这种情况当然会改变，因为AWS托管NAT网关具有内置冗余以实现高可用性。如果您不关心额外的33美元/月，那么托管NAT实例绝对值得不必维护另一个实例而减少头痛。如果您正在运行VPN（例如OpenVPN）实例来访问VPC中的实例，您可以简单地将该实例配置为也充当您的NAT网关，然后您不必仅为NAT维护额外的实例（尽管有些人可能不赞成将VPN和NAT结合起来的想法）。

我建议使用另一种策略——“私有”子网和NAT实例/网关。它们不是必需的。如果你不想从互联网上访问机器，不要把它放在允许这样访问的安全组中。

通过抛弃NAT实例/网关，您消除了实例/网关的运行成本，并且消除了速度限制(无论是250兆位还是10千兆位)。

如果您的机器也不需要直接访问互联网（我会问您是如何修补的*），那么无论如何，不要分配公共IP地址。

*如果这里的答案是某种代理，那么，你会产生开销，但每个人都是他自己的。

更新： 2015年12月下旬，AWS宣布了一项新功能，即VPC的托管NAT网关。这项可选服务为私有子网中的VPC实例访问互联网提供了一种替代机制，以前，常见的解决方案是VPC内公共子网上的EC2实例，充当“NAT实例”，为其他私有子网中的实例提供网络地址转换（技术上是端口地址转换），允许这些机器使用NAT实例的公共IP地址进行出站互联网访问。

新的托管 NAT 服务不会从根本上更改以下信息的适用性，但以下内容中未解决此选项。仍然可以按说明使用 NAT 实例，也可以改为预配托管 NAT 网关服务。本答案的扩展版本将集成有关 NAT 网关及其与 NAT 实例的比较的更多信息，因为这些都与 VPC 中的私有/公有子网范例相关。

请注意，互联网网关和 NAT 网关是两个不同的功能。所有具有互联网访问权限的 VPC 配置都将具有互联网网关虚拟对象。

要了解Amazon VPC中“私有”和“公共”子网之间的区别，需要了解IP路由和网络地址转换（NAT）一般是如何工作的，以及它们是如何在VPC中具体实现的。

VPC中公共子网和私有子网之间的核心区别由VPC路由表中该子网的默认路由定义。

这种配置进而决定了在特定子网上的实例上使用或不使用公共IP地址的有效性。

每个子网只有一个默认路由，只能是以下两种情况之一：

• VPC的“Internet网关”对象，在“公共”子网的情况下，或
• NAT设备——即NAT网关或EC2实例，在“私有”子网的情况下执行“NAT实例”角色。

互联网网关不会对没有公有 IP 地址的实例执行任何网络地址转换，因此没有公有 IP 地址的实例无法向外连接到互联网 - 例如下载软件更新或访问其他 AWS 资源（如 S3¹ 和 SQS）（如果其 VPC 子网上的默认路由是互联网网关对象）。因此，如果您是“公有”子网上的实例，则需要一个公有 IP 地址才能执行服务器通常需要执行的大量操作。

对于只有私有IP地址的实例，有另一种出站访问Internet的方式。这就是网络地址转换²和NAT实例的用武之地。

专用子网上的机器可以访问互联网，因为专用子网上的默认路由不是VPC“互联网网关”对象，而是配置为NAT实例的EC2实例。

NAT实例是公共子网上具有公共IP和特定配置的实例。有一些AMI是预先构建好的，您也可以构建自己的AMI。

当专用寻址的机器向外发送流量时，流量由VPC发送到NAT实例，NAT实例将数据包上的源IP地址（专用机器的专用IP地址）替换为自己的公共IP地址，将流量发送到Internet，接受响应数据包，并将它们转发回发起机器的专用地址。（它也可以重写源端口，无论如何，它会记住映射，以便知道哪个内部机器应该接收响应数据包）。NAT实例不允许任何“意外”的入站流量到达专用实例，除非它被专门配置为这样做。

因此，当从私有子网访问外部互联网资源时，流量穿过NAT实例，并且对于目的地来说，看起来是源自NAT实例的公共IP地址...因此响应流量返回到NAT实例。分配给NAT实例的安全组和分配给私有实例的安全组都不需要配置为“允许”该响应流量，因为安全组是有状态的。他们意识到响应流量与内部发起的会话相关，因此自动被允许。当然，意外流量会被拒绝，除非安全组被配置为允许它。

与传统的IP路由不同，默认网关位于同一子网上，它在VPC中的工作方式不同：任何给定私有子网的NAT实例始终位于不同的子网上，而其他子网始终是公共子网，因为NAT实例需要具有公共外部IP，并且其默认网关必须是VPC“Internet网关”对象。

同样……您不能在私有子网上部署具有公共IP的实例。它不起作用，因为私有子网上的默认路由（根据定义）是NAT实例（对流量执行NAT），而不是Internet Gateway对象（不起作用）。来自Internet的入站流量将访问实例的公共IP，但回复将尝试通过NAT实例向外路由，这要么会丢弃流量（因为它将由对它不知道的连接的回复组成，因此它们将被视为无效），要么会重写回复流量以使用它自己的公共IP地址，这将不起作用，因为外部来源不会接受来自他们试图发起通信的IP地址以外的IP地址的回复。

那么，从本质上来说,“私有”和“公共”的名称并不真的与互联网的可访问性或不可访问性有关。它们是关于将被分配给该子网上的实例的地址的种类，这是相关的，因为需要转换-或避免转换-那些用于互联网交互的IP地址。

由于VPC拥有从所有VPC子网到所有其它VPC子网的隐式路由，因此默认路由在VPC内部流量中不起作用。具有私有IP地址的实例将从其私有IP地址连接到VPC中的其他私有IP地址，而不是从其公共IP地址(如果有)连接...只要目的地址是VPC内的另一个私有地址。

如果您的具有私有IP地址的实例在任何情况下都不需要发起出站Internet流量，那么从技术上讲，它们可以部署在“公共”子网上，并且仍然无法从Internet访问...但是在这样的配置下，它们不可能向互联网发起出站流量，这包括与其他AWS基础设施服务的连接，同样，像S3 1或SQS。

^{1. 关于 S3，具体来说，说始终需要访问互联网是一种过度简化，随着 VPC 功能的不断发展和发展，这种简化可能会随着时间的推移而扩大并扩展到其他 AWS 服务。有一个相对较新的概念称为 VPC 终端节点，它允许您的实例（包括仅具有私有 IP 地址的实例）直接从 VPC 内的选定子网访问 S3，而无需接触“互联网”，也无需使用 NAT 实例或 NAT 网关，但这确实需要额外的配置，并且只能用于访问与您的 VPC 位于同一 AWS 区域中的存储桶。默认情况下，S3（在撰写本文时，这是唯一公开了创建 VPC 终端节点的功能的服务）只能通过互联网从 VPC 内部访问。当您创建 VPC 终端节点时，这将创建一个前缀列表 （pl-xxxxxxxxxxx），您可以在 VPC 路由表中使用该列表，通过虚拟“VPC 终端节点”对象将绑定到该特定 AWS 服务的流量直接发送到该服务。它还解决了限制特定实例对 S3 的出站访问的问题，因为前缀列表可以在出站安全组中使用，而不是目标 IP 地址或块，并且 S3 VPC 终端节点可以受其他策略语句的约束，从而根据需要限制从内部访问存储桶。}

< sup>2正如文档中提到的，这里实际讨论的是端口和网络地址转换。将组合操作称为“NAT”是很常见的，尽管从技术上来说有点不精确这有点类似于我们很多人倾向于说“SSL”，而实际上我们指的是“TLS”。我们知道我们在谈论什么，但我们没有用最正确的词来描述它。请注意，我们在本文档中使用术语NAT是为了遵循常见的IT惯例，尽管NAT设备的实际作用是地址转换和端口地址转换(PAT)