我的团队目前承受着 NAT 网关成本的负担,我们希望切换到 VPC 网关端点以降低与所有 EC2-S3 通信相关的成本。
同时,
我们希望保留 NAT 网关,用于除 S3 之外的任何其他通信。我的问题是
我们如何确保来自 EC2 的 S3 通信通过 VPC Endpoint 网关,但所有其他流量都使用 NAT 网关
换句话说
如果配置了 S3 端点和 NAT 网关,会发生什么情况?流量是从 NAT/Internet 网关还是 S3 端点流出?
我们如何才能使其具有选择性?
答案1
只需创建一个S3 网关 VPC 端点,确保路由表中有一个条目(如果您在控制台中执行此操作,则应该是自动的),并且 S3 流量将使用 VPC 端点。不要使用 S3 接口端点,它需要花钱,而 S3 网关端点是免费的。
如果 NAT 网关和 S3 网关端点都可用,则将使用 S3 网关。数据包始终使用最具体的路由,端点路由被认为比最通用的路由 0.0.0.0/0 更具体。
如果您出于某种原因使用 S3 接口端点,我认为它应该是自动的。从内存中,VPC DNS 会为 S3 返回一个适当的 IP,该 IP 通过接口端点而不是 NAT 网关。