发布于: Oct 30, 2022

远程数据访问一直是数据存储的进阶目标,Amazon Web Services 20212 月正式发布了适用于 Amazon S3 Amazon PrivateLinkAmazon  PrivateLink 使用虚拟网络中的私有 IP 提供 Amazon Simple Storage Service (S3) 与本地资源之间的专用连接。借助此功能,您现在可以使用 Virtual Private Cloud 中的接口 VPC 终端节点,在安全的虚拟网络中直接访问作为私有终端节点的 S3。通过允许您使用私有 IP 地址访问 S3,这扩展了现有网关终端节点的功能。从本地应用程序向 S3 发出的 API 请求和 HTTPS 请求会自动通过接口终端节点进行定向,这些终端节点通过 PrivateLink 以安全和私密的方式连接到 S3

本文档介绍的方案是通过利用跨区域间的 VPC 对等连接和 S3 的接口终端节点,来实现跨区域私有访问 S3。客户可以根据自己的需要,可以通过 Amazon Direct Connect  Amazon VPN 提供的安全连接从本地应用程序私有访问 S3

早在 2015 年,S3 是第一个支持添加 VPC 终端节点的服务;通过 VPC 网关终端节点提供与 S3 的安全连接,而不需要网关或 NAT 实例。其原理是在指定的路由表里,创建到 S3 服务的路由,与路由表相关联的每个子网都可以访问终端节点,随后通过终端节点将来自这些子网实例的流量路由到 S3 服务。在下图中,子网 2 中的实例可通过网关终端节点访问 Amazon S3

这种新的灵活性深受客户欢迎,但是也有它的局限性不支持跨区域和本地数据中心私有访问 S3,最新推出的 S3 接口终端节点则可以满足这种需求,其通过在选择的子网中,使用分配私有 IPENI 创建 S3 接口终端节点,从而实现与S3的安全连接。VPC 内应用程序,或者是通过 Amazon Direct Connect  Amazon VPN 等安全连接到接口终端节点的本地应用程序,都可以通过接口终端节点私有访问 S3。当从本地应用程序连接到 S3 时,通过消除配置防火墙规则或互联网网关的需要,接口终端节点可简化您的网络架构。

网关终端节点 接口终端节点
网络流量保持在 Amazon 网络上
不支持从本地应用程序私有访问 S3 支持从本地应用程序私有访问 S3
不支持跨区域私有访问 S3 支持跨区域私有访问 S3
不收费 收费

 

 演示环境的 VPC 设置:

VPC Component VPC 1 VPC 2
Region cn-north-1 cn-northwest-1
CIDR 172.31.0.0/16 10.0.0.0/16
Public Subnet 172.31.0.0/20 10.0.0.0/24
Private Subnet 172.31.16.0/20 10.0.1.0/24
Test Instance Private IP 172.31.30.22 10.0.1.94

  • VPC 对等连接的 2 个 VPC 的 CIDR 块不能有重叠
  • 使用具有接口 VPC 终端节点的私有 DNS (Amazon PrivateLink),则必须将 enableDnsHostnames 和 enableDnsSupport 属性设置为 true
  • 在两个 VPC 对等连接中都需要启用 DNS 解析
  • 接口终端节点的安全组必须允许入站 HTTPS(端口 443)流量

相关文章