AWS VPC 终端节点接口是否需要 Internet 网关答案

【问题标题】：Does an AWS VPC Endpoint Interface require an Internet GatewayAWS VPC 终端节点接口是否需要 Internet 网关
【发布时间】：2020-01-04 04:10:46
【问题描述】：

我正在尝试将以下服务连接到具有公有子网和私有子网的 VPC。
任何流量都不应通过公共互联网。

服务

sqs.ap-southeast-2.amazonaws.com
ssm.ap-southeast-2.amazonaws.com
logs.ap-southeast-2.amazonaws.com

通读Interface VPC Endpoints (AWS PrivateLink) ，没有提到IGW（互联网网关）。

但是，通过阅读Tutorial: Sending a Message ...，会预置一个 IGW，并从 EC2 实例所在的子网提供一条路由。

当我不配置 IGW 时，没有任何服务可以工作。
当我进行配置和 IGW 时，SSM 有效，但 SQS 或 CloudWatch 无效。

问题：

是否需要 IGW？
诸如此类的服务端点需要什么路由或设置？

我已经检查了以下内容：

策略：完全访问权限
子网：私有、公共
路由：公共子网有 0.0.0.0/0 路由到 IGW
在私有子网中测试 IGW 路由

感谢任何帮助或指点。

【问题讨论】：

互联网网关不需要使用 VPC 端点。在此处查看示例：VPC-enabled Lambda function cannot launch/access EC2 in the same VPC 您想选择一项服务并尝试在一些帮助下使其正常工作吗？请编辑您的问题，并告诉我们您是如何测试它的以及您是如何知道它失败的（例如错误消息）。
嗯，谢谢你的链接，你说得对，它不需要 IGW，但只支持部分命令。

标签： amazon-web-services amazon-vpc

【解决方案1】：

好的，所以正确的答案是服务端点不需要需要 IGW。
但是，并不是所有的命令都有效，下面的命令可以用来测试。

SQS

aws sqs send-message --region {region} --endpoint-url https://sqs.{region}.amazonaws.com/ --queue-url https://sqs.{region}.amazonaws.com/{queue_id}/{queue_name} --message-body "Test"

SSM

aws ssm get-parameter --name {test-param-name}

CloudWatch 日志

aws logs describe-log-streams --log-group-name {test_log_group_name}

【讨论】：

这看起来很奇怪。您有一些不有效的命令示例吗？
确实，某些 SQS 命令似乎无法通过 VPC Endpoint 运行。（我尝试了 list-queues、create-queue 和 get-queue-curl。）最奇怪的！