我的團隊目前承受著 NAT 網關成本的負擔,我們希望切換到 VPC 網關終端節點以降低與所有 EC2-S3 通訊相關的成本。
同時,
我們希望保留 NAT 網關用於 S3 以外的任何其他通訊。我的問題是
我們如何確保來自 EC2 的 S3 通訊通過 VPC 端點網關,但所有其他流量都使用 NAT 網關
換句話說
在配置了 S3 端點並且配置了 NAT 閘道的場景中會發生什麼。流量是否來自 NAT/Internet 閘道或 S3 端點?
我們怎麼才能讓它有選擇性呢?
答案1
只需創建一個S3 閘道 VPC 端點,確保路由表中有一個條目(如果您在控制台中執行此操作,則應該是自動的),並且 S3 流量將使用 VPC 終端節點。不要使用 S3 介面端點,它需要花錢,而 S3 閘道端點是免費的。
如果 NAT 閘道和 S3 閘道端點均可使用,則將使用 S3 閘道。封包始終使用最具體的路由,端點路由被認為比最通用的路由 0.0.0.0/0 更具體。
如果您出於某種原因使用 S3 介面端點,我認為它應該是自動的。從記憶體中,VPC DNS 為 S3 傳回適當的 IP,該 IP 透過介面終端節點而非 NAT 閘道。