我不确定为什么必须在AWS Direct Connect + VPN设置中使用公共 VIF。通常,如果您连接到虚拟私有网关,您应该使用私有 VIF,如AWS Managed VPN中所示。为什么在这种情况下必须使用公共 VIF?
AWS Direct Connect + VPN 示意图:
AWS 托管 VPN 示意图:
编辑 1:
通过观看AWS re:Invent 2018:AWS VPN 解决方案 (NET304)获得了更好的理解。我们需要公共 VIF,因为 AWS Site-to-Site VPN 在虚拟专用网关上创建了两个公共端点,这些端点仅对公共 VIF 可见。那次谈话的图表:
公共 VIF 支持对通过我们自己的 VPC 中的私有 IP 地址无法访问的服务进行直接网络访问。如 S3、Kinesis 等。
我们只能通过 Privates VIF 在我们的 VPC 中访问具有私有 ip 的资源。如RDS、Ec2等。
原因是解决方案的 AWS 站点到站点服务部分不驻留在 VPC 中,它直接创建了客户网关和虚拟私有网关之间的关系。
当您创建此连接时,在隧道详细信息中,您会发现您获得了 2 个公共 IP 地址(需要明确的是,私有 VIF 只会与单个 VPC 网络范围通信)。
另一方面,公共 VIF 将公布在亚马逊内找到的所有公共 IP 地址范围。当服务解析到此范围内的公共 IP 地址时,公共 VIF 将通告更理想的路由以使用您的新 Direct Connect 连接。