Jeśli mam działającego VPC i niektóre serwery znajdujące się w prywatnej części tej sieci, które przetwarzają backend poprzez pobieranie plików z Amazon S3, czy mogę uzyskać dostęp do S3 wewnętrznie, aby uzyskać dostęp do tych plików? Czy też muszę uzyskiwać dostęp do publicznego Internetu przez NAT, pobierać pliki s3 przez https i przetwarzać w ten sposób?
amazon-web-services
amazon-s3
amazon-vpc
Internet
źródło
źródło
Odpowiedzi:
W przypadku nazwy użytkownika takiej jak „Internet” spodziewam się, że to wiesz. Ale skoro zapytałeś ...
:)
VPC są naprawdę prywatne. Tylko ruch, na który wyraźnie zezwalasz, może przekraczać granice VPC.
Tak więc wewnątrz VPC instancjom wymagającym dostępu do zasobów zewnętrznych albo trzeba przypisać EIP (w takim przypadku mogą uzyskać dostęp do zasobów zewnętrznych za pomocą infrastruktury AWS), albo musisz zapewnić host NAT (w którym to przypadku cały ruch wychodzi VPC za pośrednictwem własnego NAT).
Jeśli zdecydujesz się na zapewnienie własnego hosta NAT, pamiętaj, że musisz wyłączyć sprawdzanie źródła / dest w tej instancji, a także dodać domyślną trasę do prywatnej podsieci, wskazując na hosta NAT.
AKTUALIZACJA (10.05.2015): Od 11 maja 2015 r. AWS wydało „Punkt końcowy VPC” dla S3 , który umożliwia dostęp do S3 bezpośrednio z VPC bez konieczności przechodzenia przez host proxy lub NAT. Na szczęście z szacunku dla naprawdę prywatnego charakteru VPC ta funkcja jest domyślnie wyłączona, ale można ją łatwo włączyć za pomocą konsoli AWS lub interfejsu API.
źródło
Jeśli Twoja instancja znajduje się w publicznej podsieci VPC, wówczas:
Jeśli Twoje wystąpienie znajduje się w prywatnej podsieci VPC, wówczas:
Podsumowując, aby uzyskać dostęp do S3, musisz mieć dostęp do Internetu.
źródło
Kilka dni temu masz teraz dostęp do S3 przez VPC bez używania NAT lub publicznego adresu IP.
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html?sc_ichannel=em&sc_icountry=global&sc_icampaigntype=launch&sc_icampaign=em_137702700&sc_idetail=em_340195307&re_ail_em_1010
źródło
Nie musisz wychodzić i wychodzić z powrotem ani zmieniać niczego w sposobie przesyłania danych w regionach AWS. Brak opłaty za transfer do / z wiader w tym samym regionie . Musisz zapłacić za przechowywanie.
źródło