AWS Inteface VPC 终端节点实际上如何将流量路由到区域服务？

Question

当我配置 AWS Gateway VPC 终端节点时，会创建一个指向网关的路由表条目。这里，网关可以被认为是执行到AWS服务的路由（通过私有网络）。

但是，对于 AWS Inteface VPC 终端节点，可见的只是具有子网私有 IP 地址的网络接口。默认情况下，私有 IP 可以在子网或整个 VPC 内发送流量，前提是安全组和 NACL 允许流量。在这种情况下，似乎没有通往网关或路由器的路由表条目来允许 VPC 外部的流量。

接口如何/在哪里将流量路由到即流量如何离开客户 VPC？

当然，我知道流量最终通过专用网络到达预期的AWS服务，但在这里我试图找出网关或路由器在哪里？AWS 是否隐藏此实施？

我无法理解这样一个事实：一个简单的网络接口可以接受流量并自行将其路由到服务，即自行执行路由？显然，在这种情况下，流量似乎并未流经 VPC 路由器或其他网关设备。

我知道这可能是 AWS 的机密实施，但对于他们如何设计此功能有什么想法/想法吗？

Answer 1

它根本不提供路由，默认情况下，创建 VPC 接口终端节点时将为您在 VPC 中的每个子网创建一个 ENI。它还将为您提供每个可用区的 DNS 名称以及可在应用程序中使用的全局名称。

此外，它还支持将 VPC 接口终端节点的 AWS 服务域名解析为终端节点的私有 IP 的功能。只要您的 VPC 启用了 DNS，它就会首先检查 VPC 私有 DNS 解析器，然后将其解析为私有 IP，而不是公共 IP。

这是通过向您的 VPC 添加一个额外的私有托管区域来完成的，该区域可解析您所在区域中的服务域，例如ec2.us-east-1.amazonaws.com.

从 AWS 端来看，这只是在连接到 AWS 内部 VPC 之一的 AWS VPC 中创建的 ENI。实际上也可以为您自己的服务实现此功能，以便与其他组织的 VPC 共享，这是使用AWS PrivateLink实现的。

有关更多信息，请查看接口端点的专用 DNS页面。