我打算在混合環境中使用AWS File Gateway,我將從私有子網內將文件網關安裝到EC2實例。根據AWS文檔,使用File Gateway時,所有數據傳輸均通過HTTPS完成。在VPC中,AWS File Gateway是否使用S3端點?
但因爲我的文件網關,EC2實例和S3是所有AWS環境裏,將我的文件網關還是傳輸文件在互聯網上S3服務端點(s3.amazonaws.com),還是會利用VPC端點S3 ?
注意:我不能使用EFS來達到這個目的,因爲它不是HIPAA的投訴。
S3的VPC Endpoint在您的子網路由表中使用預定義的IP前綴列表,該列表劫持所有分配給您所在區域中S3的IP地址的所有流量...因此,與子網關聯的子網S3 VPC端點,爲區域內任何S3地址綁定的所有流量均通過端點路由。要正確配置它,S3 VPC端點將成爲(僅限於),因此可以從關聯的子網訪問S3,並且由於它是在IP路由層完成的,因此從這些子網訪問S3的任何內容都將自動並透明地使用端點。
前綴列表ID在邏輯上代表服務使用的公共IP地址範圍。與指定路由表關聯的子網中的所有實例自動使用端點來訪問該服務;不與指定的路由表關聯的子網不使用端點。
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html
從理論上講,如果您配置VPC路由表使用VPC端點,然後運往S3任何流量將通過VPC端點發送。 (順便說一句,它可能只在連接到同一地區的S3時才起作用。)
無論如何,即使流量通過Internet網關路由到Amazon S3端點,流量也不會穿越真正的「互聯網「 - 它只會通過互聯網的AWS邊緣,永遠不會離開AWS數據中心(只要它位於同一地區)。
這有助於!你能否分享任何參考材料來闡述你的第二點? –
唉,我無法找到有關AWS網絡中剩餘流量的任何文檔。這僅僅是我所知道的。 –
謝謝!從邏輯上講,它應該但沒有提及** File Gateway將在內部使用S3 VPC端點(如果託管在與其相關的子網內),這使我處於非常危險的境地。 –
它應該是不可能的,因爲沒有其他的S3接口。作爲一項保護措施,如果在不使用網關的情況下嘗試訪問,則可以使用策略聲明拒絕對存儲桶的訪問。 http://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies-vpc-endpoint.html –
它的工作!我將存儲桶策略限制爲爲S3創建的VPC端點,並且能夠通過文件網關將文件推送到S3。因此,這得出**文件網關確實在內部使用S3的VPC端點** –