如何在多层架构中设置VPC接口端点？

Question

【以下的问题经过翻译处理】 客户想要使用接口VPC端点（特别是用于Cloudwatch日志）。他们的主要驱动因素是减少NAT网关使用费用。现在他们的VPC拥有4层子网（公共，Web，App，数据库）。每个层次只能访问/路由到较低的层级。从成本/安全的角度来看，如何设置最佳实践？他们目前不使用Transit Gateway或多个VPC/多个账户架构。

1.每个网络层有4个接口端点？
2.创建一个新的层（假设为vpc端点层）并将VPC端点集中在那里？
3.其他？

Answer

【以下的回答经过翻译处理】 在这种情况下，选择第二个选项会更好，您可以创建一个类似于网络服务VPC设计的新“层”，无需添加多个集接口终端。

关于未来状态的潜在可能性，您可能想根据您需要的VPC数量和VPC终端来考虑实际的网络服务VPC。如果您最终确实需要网络服务VPC来托管VPC终端，那么将来更改非常简单，因此不必从该设计开始。

请参考白皮书中的“对VPC私有终端的集中访问[https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html]”。

如何在多层架构中设置VPC接口端点？

相关内容