Wie überprüfe ich, ob mein Amazon-S3-Traffic über einen Gateway-Amazon-VPC-Endpunkt oder einen Schnittstellen-Amazon-VPC-Endpunkt geleitet wird?

Lösung

Datenfluss über einen Gateway-VPC-Endpunkt überprüfen

Um den Datenfluss über einen Gateway-VPC-Endpunkt zu überprüfen, verwende entweder eine TCP-basierte Traceroute oder konfiguriere die Amazon S3-Serverzugriffsprotokollierung.

TCP-basierte Traceroute verwenden

Hinweis: Ersetze in den folgenden Befehlen example-region-code durch deine AWS-Region.

Führe die folgenden Befehle aus:

Für HTTP

sudo traceroute -T -p 80 s3.example-region-code.amazonaws.com

Für HTTPS

sudo traceroute -T -p 443 s3.example-region-code.amazonaws.com

Beispielausgabe für Datenfluss ohne Gateway-Endpunkt:

traceroute to s3.us-east-1.amazonaws.com (16.182.42.160), 30 hops max, 60 byte packets
 1  * * *
 2  240.4.88.37 (240.4.88.37)  0.645 ms 240.4.88.43 (240.4.88.43)  0.529 ms 240.4.88.36 (240.4.88.36)  0.521 ms
 3  240.4.88.49 (240.4.88.49)  0.513 ms 240.4.88.48 (240.4.88.48)  0.505 ms 240.4.88.51 (240.4.88.51)  0.496 ms
 4  240.4.88.90 (240.4.88.90)  0.488 ms 240.4.88.85 (240.4.88.85)  0.588 ms 240.4.88.92 (240.4.88.92)  0.580 ms
 5  * * *
 6  s3-1.amazonaws.com (16.182.42.160)  0.504 ms  0.444 ms  0.675 ms

Hinweis: Der Datenfluss über das Internet hat ähnliche Traceroute-Ergebnisse wie der Datenfluss ohne Gateway-Endpunkt.

Beispielausgabe für den Datenfluss mit einem Gateway-Endpunkt:

traceroute to s3.us-east-1.amazonaws.com (52.217.224.112), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  s3-1.amazonaws.com (52.217.224.112)  0.610 ms  0.692 ms  0.640 ms

Hinweis: Bei Traceroute-Ausgaben, die einen Gateway-Endpunkt haben, ist nur der letzte Hop sichtbar. Die Traceroute-Ergebnisse sind für die Ports 80 und 443 ähnlich.

Amazon S3-Serverzugriffsprotokollierung konfigurieren

Um die Quelle der Anfrage zu identifizieren, aktiviere die Amazon S3-Serverzugriffsprotokollierung.

Überprüfe den Datenfluss über einen Schnittstellen-VPC-Endpunkt

Um den Datenfluss durch den Amazon S3-Endpunkt zu bestätigen, überprüfe die IP-Adresse der Quellressource, die eine Verbindung zu Amazon S3 herstellt. Wenn du einen Amazon VPC-Schnittstellenendpunkt einrichtest, stellt AWS eine elastische Netzwerkschnittstelle mit einer privaten IP-Adresse im Subnetz bereit. Diese Bereitstellung ermöglicht die Kommunikation mit Amazon S3-Buckets über Ressourcen innerhalb der Amazon VPC und On-Premises-Ressourcen, die über AWS Direct Connect oder AWS Site-to-Site VPN eine Verbindung zur Amazon VPC herstellen. Sie ermöglicht auch die Kommunikation mit Ressourcen in anderen Amazon VPCs, wenn du zentralisierte Amazon VPC-Endpunktarchitekturmuster verwendest.

Prüfe, ob du privates DNS für den S3-Endpunkt aktiviert hast. Wenn du privates DNS aktivierst, werden S3-Endpunkte in die IP-Adressen der privaten Endpunkte aufgelöst.

Du kannst privates DNS auch nur für den eingehenden Endpunkt aktivieren. Wenn du diese Option aktivierst, werden DNS-Abfragen für Amazon S3 mit On-Premises-Ursprung in die privaten IP-Adressen der S3-Schnittstellenendpunkte aufgelöst. Amazon S3-DNS-Abfragen, die aus der VPC stammen, verwenden weiterhin den Gateway-Amazon-VPC-Endpunkt und werden in öffentliche IP-Adressen von Amazon S3 aufgelöst.

Hinweis: Wenn du für S3-Schnittstellenendpunkte DNS-Namen aktivieren auswählst, aktiviert AWS standardmäßig die Option Privates DNS nur für eingehende Endpunkte aktivieren.

Verwende die Amazon CloudWatch-Metriken ActiveConnections und BytesProcessed, um die Nutzung deiner Amazon VPC-Endpunkte zu überwachen. Weitere Informationen findest du unter Endpunkt-Messwerte und Dimensionen.

Ähnliche Informationen

Wie behebe ich Verbindungsprobleme, wenn ich VPC-Schnittstellen-Endpunkte verwende, um eine Verbindung zu meinem Amazon S3-Bucket herzustellen?

Wie behebe ich Verbindungsprobleme mit meinen Amazon VPC-Gateway-Endpunkten?

Über einen Schnittstellen-VPC-Endpunkt auf einen AWS-Service zugreifen

Auswahl deiner VPC-Endpunktstrategie für Amazon S3