这篇来自AWS的文章指出,推荐的EKS生产设置是私有子网和公共子网的混合。不幸的是,它并没有解释"为什么"。什么是错误的选项"只有公共子网"假设它有一个正确配置的安全组?这似乎更简单和便宜(因为我们不需要NAT)。
这个SO似乎实际上回答了我的问题:
特别是其中一个评论中的问题:
服务器在具有NAT实例的私有子网和具有严格安全策略的服务器公共子网上的优势是什么?
和答案:
这不是一个真正的优势。它是关于网络在VPC中的工作方式。给定子网上的所有实例必须使用相同的默认网关,该网关将是"Internet网关";虚拟对象,它不会做NAT,或者它将是NAT实例,它不会"不做";NAT。除非您的所有机器都有公共ip,或者它们都没有,否则您将需要两种类型的子网。如果一切都是面向internet的web服务器,当然,您可能只需要一个公共子网,并且使用正确的安全配置,没有缺点。