Một công ty muốn bảo vệ một máy chủ cơ sở dữ liệu sao cho nó không thể bị truy cập trực tiếp từ internet. Máy chủ cơ sở dữ liệu nên được đặt trong một VPC như thế nào?
Câu hỏi về cách đặt trong VPC nào cô lập một DB khỏi internet.
Đặt nó trong một public subnet và cấu hình một route đến một internet gateway.
Một public subnet có một route đến một internet gateway và có thể được tiếp cận trực tiếp từ bên ngoài.
Điều này ngược lại với yêu cầu bảo vệ cơ sở dữ liệu khỏi truy cập trực tiếp, nên không đúng.
Đặt nó trực tiếp bên ngoài VPC (trên internet).
Đặt nó bên ngoài VPC là không phù hợp với tư cách là một thiết kế mạng AWS, và nó không cung cấp sự bảo vệ nào.
Nó không đáp ứng yêu cầu bảo vệ khỏi internet, nên không đúng.
Đặt nó trong một subnet nơi bạn có thể đăng nhập với tư cách root user.
Root user là quản trị viên của tài khoản AWS, một khái niệm không liên quan đến việc đặt subnet.
Nó không phải là một phương pháp cô lập mạng, nên không đúng.
Đặt nó trong một private subnet không có route trực tiếp đến internet.
Chính xác. Một private subnet không có route trực tiếp đến một internet gateway, nên nó không bị truy cập trực tiếp từ bên ngoài. Hãy đặt các tài nguyên không cần phơi ra ngoài, như cơ sở dữ liệu, ở đây, và chỉ thực hiện giao tiếp ra ngoài khi cần qua một NAT gateway để bảo vệ chúng an toàn.
Đặt các tài nguyên không cần phơi ra ngoài (như DB) trong một private subnet (không có route trực tiếp đến một IGW) để cô lập chúng. Nếu cần giao tiếp ra ngoài, hãy đi qua một NAT gateway. Các web server phải công khai thì đặt trong một public subnet.