AWS Interface Endpoint 每个 AZ 有超过 1 个子网？答案

【问题标题】：More than 1 subnet per AZ for AWS Interface Endpoint?AWS Interface Endpoint 每个 AZ 有超过 1 个子网？
【发布时间】：2020-04-22 22:48:45
【问题描述】：

我可以为每个 AZ 提供超过 1 个子网来创建 AWS 接口终端节点吗？

当我尝试时，我得到了这个错误：

Error creating VPC Endpoint: DuplicateSubnetsInSameZone: Found another VPC endpoint subnet in the availability zone of subnet-xxx. VPC endpoint subnets should be in different availability zones supported by the VPC endpoint service.

我的 VPC 设置为每个 AZ 有多个子网。这是否意味着在没有 VPC 端点网络接口的子网中设置的实例将无法访问 AWS 服务？

【问题讨论】：

每个 VPC 一个接口端点就足够了。所有子网都可以使用它。但为了实现高可用性，您可以根据需要在每个 AZ 拥有一个接口端点。
所以我应该在任何一个子网中创建它？
是的，但在您拥有使用端点的资源的子网中创建可能更好。

标签： amazon-web-services amazon-ec2 subnet

【解决方案1】：

文档write：

对于每个接口端点，您只能为每个可用区选择一个子网。

这并不意味着只有这一个子网可以使用该接口。您的 VPC 中的所有子网都将能够访问该接口。为了实现高可用性，您可以在每个 AZ 中拥有接口端点（每个 AZ 一个）：

您可以在不同的可用区（由服务支持）中指定多个子网，以帮助确保您的接口终端节点对可用区故障具有弹性。

因此，每个 VPC 至少有一个接口端点就足够了。文档还 write 这是 Kinesis 接口端点的示例：

任一子网中的实例可以使用终端节点特定的 DNS 主机名通过接口终端节点向 Amazon Kinesis Data Streams 发送请求。

【讨论】：

你有没有提到它说“VPC中的所有子网都可以访问接口”？根据aws.amazon.com/premiumsupport/knowledge-center/…，似乎建议接口需要与我的实例在同一子网中。
接口端点在 VPC DNS level 上工作插图here 显示了两个子网访问 Kinesis 的一个接口端点。暂时没有更好的参考。
@TriNguyen 您引用的官方文档本质上是错误的，当它说 “对于子网，请选择您的实例的子网 ID” 和 “一定要创建VPC 中所有子网中的端点。” 它可以是 AZ 中的任何子网（不一定是同一个，但当然可以选择同一个），并且每个 AZ 需要一个端点，而不是一个每个子网。
@Michael-sqlbot 您所说的与 Marcin 所说的不同。我不需要每个 AZ 一个，每个 VPC 一个（除了高可用性，我的问题没有考虑）
您并不严格需要每个 AZ 一个，但最好这样做，因为中断影响 AZ 与端点会阻止其他可用区的系统无法访问该服务。