AWS a des centaines de services. Pour les entreprises qui utilisent une large gamme de services différents, en privé. Utiliser les points de terminaison AWS pour autant de services peut devenir coûteux, surtout avec plusieurs VPC privés et AZ.
Voici une idée, pourquoi Amazon ne créerait-il pas simplement un “point de terminaison AWS” qui vous donne accès à tous les services AWS pour le coût d’un seul point de terminaison. Au niveau réseau/data center, tout est à l’intérieur et traverse AWS de toute façon.
Vous pourriez même le faire vous-même en ayant un VPC partagé avec tous les points de terminaison à l’intérieur, et le partager avec d’autres VPC via le peering VPC, alors pourquoi Amazon ne crée-t-il pas cela nativement ?
Je suppose qu’ils gagnent tellement d’argent en faisant utiliser à tout le monde plusieurs points de terminaison qu’ils n’ont aucune motivation pour cela.
Au minimum, regroupez ECR en un seul point de terminaison. Actuellement, vous avez besoin de trois points de terminaison pour que tout le trafic ECR passe par le lien privé.
Je déteste la façon dont ils ont mis en œuvre les points de terminaison VPC. J’ai demandé un seul point de terminaison via le gestionnaire de compte à trois entreprises différentes. J’ai même demandé au chef de projet de l’équipe VPC lors d’un appel. D’après ce que j’ai compris, c’est un problème techniquement difficile plus qu’une source de revenus. Pour chaque facture que j’ai gérée, le trafic vers les API AWS représentait une erreur banale comparé à notre trafic sortant global, ou à nos dépenses EC2.
Je pense que le fait de tout regrouper sous amazonaws.com signifie qu’ils ne peuvent pas différencier le trafic destiné aux services AWS du trafic qui devrait router vers un autre compte AWS, comme pour un ALB ou API Gateway. Mais cela ne m’empêche pas de le vouloir.
C’est certainement le genre de chose que je mentionnerais à votre gestionnaire de compte. Facturer en plus pour suivre leurs recommandations n’est pas une bonne idée.
Je comprends votre point, mais vous pouvez en fait créer un seul point de terminaison par API et les partager entre plusieurs VPC privés avec une zone DNS privée.
Pendant que vous vous inquiétez du prix, faites attention aux points de terminaison Route 53 Resolver. Ils ont une tarification complètement différente.
Donc, en toute sincérité, pourquoi la passerelle NAT ne serait-elle pas suffisante pour cela ?
Ce n’est pas comme si le paquet réseau quittait réellement le centre de données ou le réseau AWS si nous faisons une requête aux services AWS, n’est-ce pas ?
Le point de terminaison VPC ne fait-il pas simplement semblant d’établir une communication entièrement privée ici ?
Avez-vous une référence à portée de main pour cela ? Je prépare le déploiement des points de terminaison ECR prochainement. Je vois une référence à ecr.dkr et ecr.api, mais je ne trouve pas d’info sur un troisième… À moins que vous fassiez référence au point de terminaison privé S3 ?
Oui, j’ai mentionné cela dans mon troisième paragraphe. J’aimerais toujours qu’AWS ait quelque chose de natif/gestionné pour cela, comme un seul point de terminaison comme je le suggère.
Ça fonctionne bien mais les inconvénients de cette méthode sont une complexité accrue, des coûts, de la maintenance, du dépannage, etc.
Je pense que le fait de tout regrouper sous amazonaws.com signifie qu’ils ne peuvent pas différencier quand le trafic est destiné aux services AWS vs le trafic qui devrait être routé vers un autre compte AWS, comme pour un ALB ou API Gateway.
Ils pourraient simplement faire pointer tous les domaines individuels vers le même point de terminaison. Vous pouvez toujours avoir plusieurs domaines sur 1 point de terminaison. Par exemple, Lambda, a celui qui se termine par “.com” ET un autre domaine qui se termine par “.aws” comme vous pouvez le voir ici : AWS Lambda endpoints and quotas - AWS General Reference
Une autre chose est, quel est le but que S3 et DynamoDB soient les seuls services avec des points de terminaison de passerelle (au lieu de points de terminaison d’interface). Si tous les services avaient un équivalent de passerelle (comme S3 en a les deux), alors les clients pourraient choisir la route de cette façon avec la liste des préfixes IP fournis.
Bienvenue chez AWS, vous ne pouvez pas recevoir de support à moins de suivre leurs (chers) meilleures pratiques… c’est-à-dire, sauvegardes inter-comptes, pare-feu réseau coûteux pour la protection contre les attaques DoS… la liste continue.
Cela ne résout pas du tout le problème décrit par l’OP.
Avec seulement IPv6, ce serait encore du trafic public.
Vous avez toujours besoin de points de terminaison pour ne pas traverser l’internet public, ce qui est une bonne pratique pour les charges de travail sensibles à la sécurité.
Oui, je sais, je l’ai mentionné dans le troisième paragraphe. Mais si vous dites utiliser une trentaine de services AWS différents parmi les centaines qu’ils proposent, et que vous voulez 3 AZ pour la fiabilité pour tous vos VPC, alors vous regardez près de 100 fois le coût d’un seul point de terminaison dans une seule zone.
De plus, faire cette méthode semble un peu bricolé/supplémentaire, AWS devrait avoir une façon gérée/naturelle de se connecter à tous leurs services avec 1 point de terminaison. AWS devrait gérer ce hub, je suis sûr que de nombreux clients le voudraient et l’utiliseraient.