java - 如何验证 EC2 中的应用程序正在使用 VPC 端点与 Dynamodb 进行通信？

Question

我有一个部署在 EC2 中并与 Dynamodb 通信的 Java 应用程序。我已为 Dynamodb 启用 VPC 端点(网关端点)。但我没有注意到此更改有任何性能改进。从理论上讲，与公共(public)访问相比，通过 VPC 端点的延迟应该更少。同样基于 tcpdump，我可以看到我们的应用程序仍然使用 dynamodb 的公共(public) IP 进行通信。

这里52.119.232.38是dynamodb公共(public)IP。如何验证 EC2 中的应用程序是否正在使用 VPC 端点与 Dynamodb 进行通信？

• EC2 和 VPC 端点均支持同一 VPC。

Answer 1

您可以使用 AWS cloudtrail 来验证这一点。如果您仅从具有关联 VPC 网关终端节点的 AWS 网络上托管的应用程序连接到 DynamoDB，则您应该只能在 Cloudtrail 日志的源 IP 字段中看到私有(private) IP。如果您看到其他公共(public) IP，则表示正在通过互联网访问 DyanmoDB。

• 转至 AWS Cloudtrail 并筛选 EventSource dynamodb.amazonaws.com
• 如果您没有看到任何 cloudtrail 事件，请确保选择您期望应用程序访问 DynamoDB 的时间段，或手动 ssh 进入 EC2 实例并运行一些 cli 命令 aws dynamodb list-tables 然后等待 10-15 分钟，让这个新事件出现。
• 点击设置图标可显示事件的源 IP 地址
• 事件的源 IP 地址应来自您的 VPC 的 CIDR 范围(在本例中为 EC2 实例的私有(private) IP)
• 您可以点击事件名称并查看原始事件，该事件的键为 vpcEndpointId，其值与 VPC 端点的 ID 相同

如果源 IP 不是 EC2 实例的私有(private) IP，请确保按照添加或删除网关端点使用的路由表使用网关端点条目更新适用的路由表链接部分here