我计划在混合环境中使用 AWS 文件网关,我将在其中将文件网关从私有子网中挂载到 EC2 实例。根据 AWS 文档,在使用文件网关时,所有数据传输都是通过 HTTPS 完成的。
但由于我的文件网关、EC2 实例和 S3 都在 AWS 环境中,我的文件网关是否仍会通过 Internet 将文件传输到 S3 服务端点 (s3.amazonaws.com) 还是会利用 VPC 端点进行 S3?
注意:我不能为此目的使用 EFS,因为它不是 HIPAA 投诉。
问问题
1143 次
2 回答
1
S3 的 VPC 终端节点在您的子网路由表中使用预定义的 IP 前缀列表,这会劫持您所在区域中分配给 S3 的所有 IP 地址的所有流量……因此,从与 S3 VPC 终端节点关联的子网中,发往该区域中任何 S3 地址的所有流量都通过端点路由。
换句话说,如果配置正确,S3 VPC 终端节点成为可以从关联子网访问 S3的唯一方式,并且因为它是在 IP 路由层完成的,所以从这些子网访问 S3 的任何内容都将自动且透明地使用终端节点.
前缀列表 ID 逻辑上表示服务使用的公共 IP 地址范围。与指定路由表关联的子网中的所有实例都自动使用端点访问服务;未与指定路由表关联的子网不使用端点。
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html
于 2017-07-26T00:59:52.773 回答
0
理论上,如果您将VPC 路由表配置为使用 VPC 端点,那么任何发往 S3 的流量都将通过 VPC 端点发送。(顺便说一句,它可能仅在连接到同一区域的 S3 时才有效。)
无论如何,即使流量通过您的 Internet 网关路由到 Amazon S3 端点,流量也不会穿过真正的“互联网” ——它只会通过互联网的 AWS 边缘,永远不会离开 AWS 数据中心(如只要它在同一个地区)。
于 2017-07-26T01:00:08.800 回答