假设我在私有子网中有一个 ec2,可以通过 NAT 网关访问互联网,并且我有用于 DynamoDB 或 SNS 等 AWS 服务的VPC 端点 (PrivateLink)。如果我的 ec2 实例需要与这些服务交互,它将使用私有链接还是 NAT 网关?换句话说,流量将在公共互联网上传输还是留在 VPC 内?
问问题
392 次
1 回答
2
换句话说,流量将在公共互联网上传输还是留在 VPC 内?
它将转到接口端点。原因是当有多个选择将流量引导至何处时,aws 会选择更具体(最长前缀匹配)的路由。因此,如果 VPC 必须在 NAT 和接口端点地址之间做出决定0.0.0.0/0,接口端点将被优先考虑。
您可以自己轻松检查。将接口端点放在您的私有子网中,该子网具有到 NAT 的路由。然后使用其安全组将所有传入接口端点的流量设为黑。您应该看到的是,即使有 NAT 网关,您也无法访问接口端点的服务。
于 2021-03-05T08:30:39.710 回答