Я пытаюсь глубже понять потоки и маршрутизацию трафика в различных сценариях, когда ресурсы в облаке VPC взаимодействуют друг с другом и с сервисами AWS. Я недавно наткнулся на это Вопросы-Ответы в документах AWS, и это вызвало у меня небольшое затруднение в понимании:
Вопрос. Передается ли трафик через Интернет, когда два экземпляра взаимодействуют с использованием общедоступных IP-адресов или когда экземпляры взаимодействуют с общедоступной конечной точкой сервиса AWS?
Нет. При использовании общедоступных IP-адресов вся связь между экземплярами и сервисами, размещенными в AWS, осуществляется через частную сеть AWS. Пакеты, исходящие из сети AWS с пунктом назначения в сети AWS, остаются в глобальной сети AWS, за исключением трафика в регионы AWS China и из них.
Сценарий 1: Экземпляр EC2 <> Экземпляр EC2, тот же VPC: общедоступная IP-связь
Насколько я понимаю, если два экземпляра EC2 в одном и том же VPC взаимодействуют друг с другом через общедоступные IP-адреса, трафик будет выходить из VPC и проходить через «общедоступный Интернет», но, возможно, это не означает, что за пределами частной сети AWS в FAQ выше? Кто-нибудь знает на более глубоком уровне, какое воздействие существует в этом случае с точки зрения безопасности? Что означает выход из VPC В самом деле имеется в виду с точки зрения воздействия и рисков?
Сценарий 2: инстанс EC2 <> связь с сервисами AWS
Я знаю, что AWS PrivateLink используется для «безопасного» подключения к сервисам AWS из VPC.Далее взято из документы относительно использования PrivateLink и RDS:
Вашим экземплярам также не нужны общедоступные IP-адреса для использования каких-либо доступных операций RDS API. Трафик между вашим VPC и Amazon RDS не выходит за пределы сети Amazon.
Теперь, исходя из первого часто задаваемых вопросов выше, кажется, что когда экземпляры в VPC взаимодействуют с сервисами AWS через общедоступные конечные точки/IP-адреса (т. е. без конечных точек интерфейса PrivateLink), этот трафик должен никогда не покидайте сеть Amazon, но в документах PrivateLink создается впечатление, что трафик VPC делает возможно, в какой-то момент покинуть сеть Amazon, если не использовать эти конечные точки интерфейса?
--
Я надеюсь, что кто-то может внести некоторую ясность здесь, поскольку кажется, что мне нужно еще несколько деталей, чтобы все щелкнуло для меня. Я предполагаю, что моя озабоченность/объектив сосредоточены на безопасности и на том, какие существуют риски/дополнительный риск в каждом из представленных сценариев. Что на самом деле означает трафик, покидающий VPC, если в конце дня он весь направляется в сеть Amazon? Каковы риски выхода трафика из VPC? Это в основном связано с отказом в обслуживании или с возможностью прослушивания трафика? Или что-то другое? Я знаю, что это, вероятно, зависит от модели угроз, но мне любопытно, что другие думают здесь с точки зрения рисков/проблем.
Не стесняйтесь делиться любой документацией / документами, которые вы нашли полезными для понимания этих вещей. Документы AWS кажутся мне немного противоречивыми (или, может быть, они просто недостаточно углубляются, поскольку это проникает в их секретный соус), поэтому надеюсь, что есть люди, которые глубже погрузились в эти области и опубликовали что-то. Я знаю, что есть много вопросов и концепций, связанных с этим обсуждением, поэтому дайте мне знать, если я могу прояснить/упростить свой пост выше. Заранее спасибо!
