По поводу File Storage GW :)
Если у вас доступ к FileGW по Direct Connect Private VIF или VPN, и вы хотите ходить исключительно в приватке, то вы должны создать Interface Endpoint для Storage GW и Gateway Endpoint для S3. Это точно работает. :)
Суть такая:
- Storage GW Interface Endpoint создает отдельный ENI в каждой подсети, к которой он привязан. Поэтому он и называется Interface Endpoint :) Например, в AZ-A -
172.31.85.105, в AZ-B -
172.31.20.67 и т. д. Есть два типа DNS имен этой ENI - региональный и AZ. Запрос на ресолв к региональному возвращает список IP адресов в каждой AZ. При настройке доступа к File GW рекомендуется использовать региональный FQDN.
- Когда вы создаете S3 Gateway Endpoint вы указываете таблицу маршрутизации, привязанную к конкретным подсетям, в которых он будет доступен. В самой таблице маршрутизации указано, что если вы хотите идти на диапазоны белых адресов, по которым доступен сервис S3 (
54.231.0.0/17, 52.216.0.0/15,
3.5.16.0/21,
3.5.0.0/20), то надо идти по маршруту используя S3 GW в качестве следующего хопа. Это виртуальный маршрутизатор, поэтому он и называется Gateway Endpoint :) Ну а S3 Endpoint, в свою очередь, прокидывает траффик напрямую в сервис не выходя наружу.
- Логика доступа, например для VPN, такая:
Клиент -> NFS/SMB -> Storage Gateway апплайанс -> резолвинг регионального FQDN и Round Robin выбор одного из локальных IP в какой-то AZ -> локальный маршрутизатор CGW -> IPsec туннель -> AWS маршрутизатор VGW -> приватный IP Storage GW Interface Endpoint в AZ -> проверяем маршрут к S3 -> S3 Gateway Endpoint -> S3 -> Ура!
По этой логике получается, что между AZ трафик ходить не должен и вы экономите :)
