AWS中私有子网的目的是使其实例无法直接从外部访问。然而,有时候(成功地抵制了“实例”双关语),实例需要访问互联网才能完成某些操作,例如下载软件更新。实现这一点的“标准”方法是使用一个NAT网关和一条规则,在路由表中将所有出站流量指向它(0.0.0.0/0->nat-gw)。
令我感到困惑的是: 难道我们不能只使用具有适当配置的安全组(SG)的公共子网,该安全组拒绝入站流量并允许特定的出站流量吗?由于SG是有状态的,它们应该允许响应对出站流量进行处理,就像NAT网关一样。
我猜我可能漏掉了什么,或者上述配置在某些方面受到了限制,我没有注意到。但是我找不到答案。
令我感到困惑的是: 难道我们不能只使用具有适当配置的安全组(SG)的公共子网,该安全组拒绝入站流量并允许特定的出站流量吗?由于SG是有状态的,它们应该允许响应对出站流量进行处理,就像NAT网关一样。
我猜我可能漏掉了什么,或者上述配置在某些方面受到了限制,我没有注意到。但是我找不到答案。