Minha equipe está atualmente sobrecarregada com os custos do gateway NAT e gostaríamos de mudar para o endpoint do gateway VPC para reduzir os custos associados a toda a comunicação EC2-S3.
ao mesmo tempo,
Gostaríamos de manter o gateway NAT para qualquer outra comunicação além do S3. Minha pergunta é
Como podemos ter certeza de que a comunicação S3 do EC2 passa pelo gateway VPC Endpoint, mas todo o outro tráfego usa o gateway NAT
em outras palavras
O que acontece em um cenário em que o S3 Endpoint está configurado e também o NAT Gateway está configurado. O tráfego fluiria do NAT/Internet Gateway ou do S3 Endpoint?
Como podemos torná-lo seletivo?
Responder1
Basta criar umPonto final VPC do gateway S3, certifique-se de que uma entrada esteja na tabela de rotas (deve ser automática se você fizer isso no console) e que o tráfego S3 usará o VPC Endpoint. Não use o endpoint de interface S3, pois custa dinheiro, enquanto o endpoint S3 Gateway é gratuito.
Se um gateway NAT e um endpoint de gateway S3 estiverem disponíveis, o gateway S3 será usado. Um pacote sempre usa a rota mais específica, a rota do terminal é considerada mais específica do que 0.0.0.0/0, que é a rota mais geral.
Se você estivesse usando um S3 Interface Endpoint por algum motivo, acho que deveria ser automático. Da memória, o DNS da VPC retorna um IP apropriado para S3 que passa pelo endpoint da interface em vez do gateway NAT.