VPC Gateway Endpoint实验

本节我们将登录到私网机器上,然后创建一个S3 Gateway Endpoint,并在私网机器上将文件上传到S3:

image-20220911201044225

环境准备

在第二章我们创建了一个VPC,里面有一个公网和一个私网,并分别在下面创建了两台EC2, 本节我们将基于以上环境继续进行实验。

注意私网的路由表要把NAT的路由删除:

image-20220911202713784

如果修改了默认的DHCP,也要将其改回来。


为私网的EC2绑定一个IAM Role,让它具有访问S3的权限

登录到私网的EC2上,此时执行S3相关的命令都是不通的,因为私网机器上没有任何到S3的路由

创建Gateway Endpoints

在VPC的页面,选择Create endpoint

image-20220911203230858

为endpoint命名,选择s3 gateway endpoint :

image-20220911203317551

选择VPC,这里我们将endpoint应用到VPC下的两个路由表(一个公网、一个私网)上:

image-20220911203347758

创建完成后,检查私网的路由表,发现此时有一条prefix list路由解析到vpc endpoint:

image-20220911203521610

查看这个Prefix,这其实是us-west-2 S3服务的IP段:

image-20220911203559524

测试

登录到私网机器,此时可以将文件上传到同region的S3桶,但当访问其他region桶下面的资源时不会成功:

image-20220911205118952

如果是公网机器或者私网上有NAT路由表,即使访问其他region的 S3时 Gateway Endpoint走不通,也可以走公网路由。