Скажем, у меня есть ec2 в частной подсети с доступом в Интернет через шлюз NAT, и у меня есть Конечные точки VPC (PrivateLink) для сервисов AWS, таких как DynamoDB или SNS. Если моему экземпляру ec2 необходимо взаимодействовать с этими службами, он будет использовать частную ссылку или шлюз NAT? Другими словами, трафик пойдет в общедоступный Интернет или останется внутри VPC?
Частная подсеть AWS со шлюзом NAT и VPC PrivateLink: какая из них будет использоваться?
Ответы (1)
Другими словами, трафик пойдет в общедоступный Интернет или останется внутри VPC?
Он перейдет к конечной точке интерфейса. Причина в том, что aws выбирает более конкретный < / a> (совпадение по самому длинному префиксу) - маршрут, когда есть несколько вариантов, куда направлять трафик. Поэтому, если VPC необходимо выбрать между 0.0.0.0/0
для NAT и адресом конечной точки интерфейса, конечная точка интерфейса будет иметь приоритет.
Вы можете легко проверить это сами. Поместите конечную точку интерфейса в вашу частную подсеть, которая имеет маршрут к NAT. Затем заблокируйте весь входящий трафик к конечной точке интерфейса, используя ее группу безопасности. Вы должны увидеть, что вы не можете получить доступ к службе конечной точки интерфейса, даже если есть шлюз NAT.