问题标签 [vpc-endpoint]

Private Link 和 VPC 端点有什么区别？根据文档，VPC 端点似乎是访问 AWS 服务的网关，而不会将数据暴露在互联网上。但是关于 AWS 私有链接的定义也类似。

参考链接： https ://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html

Private Link 是 VPC 端点的超集吗？

如果有人通过示例提供这两者之间的区别，那将非常有帮助！

提前致谢！

我的环境都是私有的。我在 ca-central-1 中创建了一个 STS 端点。它有 2 个子网，一个用于 ca-cental-1a，另一个用于 ca-central-1b。由于某些奇怪的原因，我的两个环境都具有相同的 sts 端点设置，STS 连接仅适用于 ca-central-1a。由于我们的网络是私有的，因此我们已将“启用私有 dns 名称”启用为 True。

当我通过调用 aws sts get-caller-identity 进行测试时，我通过为 az 和只有 ca-central-1a 中的实例创建实例来进行测试。1b az aws sts 命令只是挂起。我们检查了 NACLS，两个子网都使用相同的规则。

这是配置问题还是aws错误？

谢谢

VPC 终端节点提供从其他 AWS 服务连接到 AWS 服务的安全方式，但不选择 VPC 终端节点的主要标准是什么？或者默认情况下，如果我们的流量在同一个区域，我们应该选择 VPC 端点？有人可以建议吗？

我在弗吉尼亚地区有一个私有 Api 网关，在加拿大地区有一个应用程序（相同的 AWS 账户），它需要使用私有 API。

我已配置 VPC 之间的对等互连、我的加拿大 VPC 上的 VPC 端点并更新了 API Gateway 资源策略。

尝试从 VPC Canada 中的实例使用私有 API 时，我收到以下错误：

错误：未知端点：无法访问的主机。此服务可能在“us-east-1”区域不可用

阅读错误，似乎端点是区域资源，因此弗吉尼亚的 API 不会被加拿大的端点解析。所以在那种情况下，我想知道如何与另一个区域的 Private Api 通信。

我在旋转 rds 密码的 VPC 中有一个 lambda 函数。当我使用秘密管理器 vpc 端点测试 lambda 函数时，如下所示：

• 案例 1. 公有子网中的 Lambda -使用公有子网附加 VPC 终端节点=> 轮换正常
• 案例 2.私有子网中的 Lambda - VPC 端点附加到公共子网=> 轮换没问题，尽管 cloudwatch 有一个错误。
• 案例 3.公有子网中的 Lambda - VPC 终端节点附加私有子网=> 轮换失败，因为 lambda 函数超时
• 案例 4. 私有子网中的 Lambda -使用私有子网附加 VPC 终端节点=> 轮换正常

我知道我不应该将 lambda 函数放入公共子网，但我想知道子网中的 lambda 函数如何与 vpc 端点一起使用。

任何人都可以解释为什么案例 2可以，尽管 lambda 和 vpc 端点位于不同的子网中。

我正在尝试使用 lambda 函数访问弹性搜索集群。我面临的问题是它给出了一个错误。回应是：

我的代码在python中，如下所示：

我该如何解决这个错误。我的猜测是启用 VPC 的端点使用不同的技术进行访问。如果是这样，如何访问它们？

提前致谢

我正在从一个架构迁移，我在私有子网中有一个 Lambda，与一个具有 NatGateway 的公共子网交谈，由 API 网关 WebSocket 触发。现在我删除了 Nat 网关并插入了一个带有 VPC 链接的 VPC 端点。我在链接中找到的：https ://d1.awsstatic.com/whitepapers/private-api-best-practices.pdf

我的 VPC 终端节点当前的策略全部打开，我没有使用 Enable Private DNS Name ，因为在我的 VPC 中有另一个项目与 API Gateway 对话。

我的 API Gateway 触发了 Lambda，但无法响应返回消息。我的 lambda 超时。

在我的旧架构中，我的返回端点是https://{restapi-id}.execute-api.{region}.amazonaws.com/{stage}，现在当我尝试响应时，它不适用于该端点。

我必须更改端点吗？

在我完成测试此连接之前，我的安全组和 NACL 非常开放。VPC Link 和 API Gateway Endpoint 配置了 Lambda 子网和 Lambda 安全组。

VPC Link 或 VPC Endpoint 是否缺少某些内容？

编辑：我在 ApiGateway 中激活了日志，在 lambda 日志之前它返回：

客户端收到消息：

我有一个部署在 EC2 中并与 Dynamodb 通信的 Java 应用程序。我为 Dynamodb 启用了 VPC 端点（网关端点）。但是我没有注意到这种变化对性能有任何改善。从理论上讲，与公共访问相比，我应该通过 VPC 端点看到更少的延迟。同样基于 tcpdump，我可以看到我们的应用程序仍在使用 dynamodb 的公共 IP 进行通信。

这52.119.232.38是 dynamodb 公共 IP。如何验证我们在 EC2 中的应用程序是否使用 VPC 端点与 Dynamodb 通信？

• EC2 和 VPC 端点都为同一个 VPC 启用。

/index我有一个设置，其中包含一个 ECS Ec2Service 和一个运行任务的单个实例，该任务在页面被点击时向主题发送 SNS 消息。一切正常，如果我使用常规的“开放互联网”SNS 端点，我可以将消息发布到主题。但是，当我为 AWS SNS 服务创建 VPC 终端节点并从 VPC 终端节点详细信息选项卡中获取 DNS 名称并尝试发布 SNS 消息时，在使用该 DNS 名称配置 SNS 客户端时，操作因超时而失败如果端点不可到达。

我的 Ec2 和 VPC 端点都在同一个子网中（尝试私有然后是公共的），所以我不确定我错过了什么。

EDIT1：指出我需要Private DNS names enabled = false，所以我不能使用常规终端节点路由到 VPC 终端节点

我们有一个具有 3 个公共子网和 3 个私有子网的 VPC。

公共子网通过 Internet 网关到达 Internet。私有子网通过其自己的 NAT 网关（每个网关）到达 Internet。

在创建了几个批处理计算环境和 lambdas（lambdas 使用位于 ECR 存储库中的自定义映像）运行到私有子网之后，我们的账单随着 NAT 网关流量的增加而增加。

我们忘记为 S3 和 SecretManager 创建 VPC 端点。好的，我们创建了这些端点。

但是我们在 NAT 网关流量方面的费用仍然很高。

我们激活了流日志并开始了我们的任务。

我们检查了 NAT 网关和 Internet 之间的流量。都是https流量。我们推断是 AWS 服务调用了其他 AWS 服务 API。

我们创建了一些其他的 VPC 端点，这是可行的。我们的 NAT 网关流量比以前少。但是我们还有一些 https 流量。我们的应用程序不会产生这种流量。因此，我们需要更多的 AWS VPC 端点。AWS VPC 端点是有成本的。

我们如何知道我们需要哪些 VPC 端点？

流日志不是 7 层日志。有什么方法可以嗅探流量吗？