跨网络访问Interface Endpoint

在第一章我们提到:Gateway Endpoint不允许穿越流量。例如VPC A里创建了Gateway Endpoint访问S3,但跟VPC A相连的VPC或者VPN/DX都不能通过它来访问到S3:

image-20220924120051056


Interface Endpoint不一样,它支持跨网络的访问,例如从其他VPC或VPN/DX过来的流量:

image-20220929170811798

上一节我们提到,Interface Endpoint本质上是AWS在背后创建了一个Private Hosted Zone并与VPC绑定,更改了默认的服务解析(解析成Interface Endpoint的ENI)。

所以,实现跨网络访问Interface Endpoint也需要满足一些条件:

  • 如果流量来自于其他的VPC,则需要单独在自己的Privated Hosted Zone里创建自定义规则,解析成ENI的IP
  • 如果流量来自于on-premise,则可以借助Route53 Resolver Endpoint来实现(参考DNS那一章)