我计划在混合环境中使用AWS File Gateway,我将从私有子网内将文件网关挂载到EC2实例。根据AWS文档,所有数据传输均在使用File Gateway时通过HTTPS完成。
但由于我的文件网关,EC2实例和S3都在AWS环境中,我的文件网关是否仍会通过互联网将文件传输到S3服务端点(s3.amazonaws.com),还是会利用VPC端点进行S3?
注意:我不能将EFS用于此目的,因为它不是HIPAA投诉。
答案 0 :(得分:1)
S3的VPC端点在您的子网路由表中使用预定义的IP前缀列表,该列表劫持了您所在区域中分配给S3的所有IP地址的所有流量...所以从与S3关联的子网VPC端点,该区域中任何S3地址的所有流量都将通过端点进行路由。
以另一种方式说明,正确配置后,S3 VPC端点成为 only 方式,可以从关联的子网访问S3,并且因为它是在IP路由层完成的,所以访问S3的任何内容从这些子网将自动和透明地使用端点。
前缀列表ID在逻辑上表示服务使用的公共IP地址范围。与指定路由表关联的子网中的所有实例都自动使用端点来访问服务;与指定路由表无关的子网不使用端点。
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html
答案 1 :(得分:0)
理论上,如果您将 VPC路由表配置为使用VPC端点,则任何发往S3的流量都将通过VPC端点发送。 (顺便说一句,它可能仅在连接到同一区域的S3时才有效。)
无论如何,即使流量通过您的Internet网关路由到Amazon S3端点,流量也不会遍历真正的“Internet” - 它只会通过AWS的边缘传输互联网,永远不会离开AWS数据中心(只要它在同一个地区)。