我们有一个混合模型,通过站点到站点 VPN 连接到 AWS。出于安全考虑,需要将数据从 s3 下载到本地,以使流量从本地到 AWS 再返回,而不需要通过开放的 Internet。 IE。与此类似:
on-prem --VPN--> AWS private subnet --> s3 endpoint --> s3
此架构适用于接口端点,因为它们生成可用于从本地调用的私有 DNS 名称,但 s3 端点是网关端点,而不是接口端点,因此它不会生成私有 DNS 名称。
如何做到这一点?
【问题讨论】:
标签: amazon-web-services amazon-s3 amazon-vpc
2021 年 2 月,AWS 发布了不同于 S3 网关终端节点的 S3 PrivateLink 接口终端节点。
不同之处在于 S3 接口端点解析为私有 VPC IP 地址,并且可从 VPC 外部路由(例如通过 VPN、Direct Connect、Transit Gateway 等)。 S3 网关终端节点使用公共 IP 范围,并且只能从 VPC 内的资源路由。
接口端点意味着您可以通过 VPN 和一个或多个子网从本地网络路由到 S3 存储桶,而无需 VPC 中的代理,也无需遍历公共互联网。
请参阅blog announcement 和S3 privatelink user guide 了解更多详情。
【讨论】:
根据VPC endpoints documentation S3 不提供通过 VPN 的直接访问:
端点连接不能扩展到 VPC 之外。 VPN 连接、VPC 对等连接、AWS Direct Connect 连接或 VPC 中的 ClassicLink 连接另一端的资源无法使用终端节点与终端节点服务中的资源进行通信。
但是,您可以通过 VPN 连接将 Amazon S3 IP address ranges 路由到 VPC,并在存储桶策略中明确允许访问您 VPN 的公共 IP 地址的 S3 存储桶,并拒绝其他所有内容。
请注意,Amazon S3 IP 地址范围可能会发生变化。
【讨论】: