使用 VPC 对等连接的接口端点进行 S3 跨区域访问相比使用 NAT 网关公网连接的优势是什么?

0

【以下的问题经过翻译处理】 我的团队计划在私有VPC中设置EMR集群,其中主要存储为us-east-1的S3存储桶。我们需要跨区域访问S3,并一直在探索不同的实现方法。我们考虑了两种方法:

  1. 在us-east-1中设置没有公网访问权限的隔离VPC,用于S3存储桶访问,在每个区域中都设置一个VPC来启动我们的EMR集群。我们将为每个VPC与us-east-1的VPC配对,并在us-east-1 VPC中设置接口端点,以通过VPC对等连接访问S3。使用了AWS PrivateLink。
  2. 在公共子网中设置Internet网关和NAT网关的私有VPC,同时在私有子网中启动EMR集群。我们将通过公共互联网跨区域访问S3。

对于这两种解决方案,当计算和存储在同一区域时,我们将利用网关端点,因为我们发现这应该会产生与接口端点相同的好处,但没有额外的费用。

通过我的研究,我发现AWS PrivateLink更安全,因为没有使用公共互联网,并且具有显著的延迟优势,高达70%,根据此实验:https://blogs.vmware.com/security/2020/03/performance-testing-justifying-cost-and-performance-improvements-part-2.html

我想知道,如果我们使用VPC对等连接,是否仍然会看到这种延迟优势,还是最好选择使用公网连接。

profile picture
专家
已提问 6 个月前25 查看次数
1 回答
0

【以下的回答经过翻译处理】 请记住,使用公共IP寻址并不一定意味着“公共互联网”。实际上,在[VPC FAQ](https://aws.amazon.com/vpc/faqs/)中,我们声明:“使用公共IP地址时,所有EC2实例和AWS服务之间的通信都使用AWS的私有网络。”实际上,因为S3使用TLS,这里的安全性好处取决于端点策略,允许您限制访问特定的S3存储桶。

而且,无论您是使用公共IP地址还是通过VPC或Transit Gateway peering使用私有IP地址,区域之间的流量都经过相同的骨干网络,延迟差别将是微不足道的。

S3 网关端点是零成本的,但只能从创建它们的VPC内访问。S3 PrivateLink 端点可以从其他对等的VPC访问,但需要付出成本。

总之:建议选择最低成本且满足您要求的架构。

profile picture
专家
已回答 6 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则