Estou lendo em todos os lugares (incluindo a documentação oficial) que uma instância EC2 em uma sub-rede privada não pode ser acessada pela Internet, mesmo que tenha um IP público.
Digamos que eu tenha uma 10.0.0.0/16
VPC com uma 10.0.0.0/20
sub-rede pública e uma 10.0.0.128/20
sub-rede privada contendo uma instância EC2 com IP público.
Na minha opinião, nesta configuração, um pacote enviado para a instância EC2 seria:
- Ser recebido pelo Internet Gateway da VPC, que realizaria NAT e emitiria aquele pacote com sua interface de rede privada (eu acho
10.0.0.1
) - Esse pacote seria então roteável para a instância EC2 graças à regra que diz que os pacotes direcionados
10.0.0.0/16
devem ser encaminhados para a rede local
No entanto, a instância EC2 não seria capaz de responder a esse pacote (para estabelecer uma conexão TCP, por exemplo) porque não tem rota para um gateway de Internet ou uma instância NAT.
Então, na minha opinião, a afirmação "uma instância EC2 em uma sub-rede privada não pode ser acessada pela Internet, mesmo que tenha um IP público" não é verdadeira, é realmente acessível (se as ACLs de rede e os grupos de segurança permitirem o tráfego) mas não pode responder a nenhuma solicitação .
Meu raciocínio está correto?