我们有 2 个区域(主要区域和辅助区域),其中配置了 VPC,以便该 VPC 中的 EC2 实例向私有 VPC 终端节点发出请求,该终端节点将从该区域提供 DynamoDB。我们的 Amazon DynamoDB 表是全局表。出于安全原因,我们的目标是让我们的请求保留在亚马逊网络内。
我们有一个计划任务将在我们主要区域的 EC2 实例上运行。我们希望在主要区域 DynamoDB 服务降级时将 DynamoDB 请求故障转移到次要区域,从而使其更具弹性。这是 AWS 在可用性和持久性部分推荐的。
我浏览了这些文档:Amazon DynamoDB 的端点和使用 Amazon VPC 端点访问 DynamoDB,但他们似乎没有提供任何解决方案。是否可以从另一个区域向私有 VPC 终端节点发出请求?
目标是通过不向互联网发送请求来实现多区域弹性和良好的安全性。
不幸的是,这在 https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-ddb.html:
的文档中是不可能的终端节点当前不支持跨区域请求 - 确保您在与 DynamoDB 表相同的区域中创建终端节点。
还记录在此处:https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html#vpc-endpoints-limitations
端点连接无法扩展到VPC之外。 VPC 中的 VPN 连接、VPC 对等连接、中转网关、AWS Direct Connect 连接或 ClassicLink 连接另一端的资源无法使用终端节点与终端节点服务中的资源进行通信。
现在可以通过以下启动来实现 https://aws.amazon.com/about-aws/whats-new/2024/03/amazon-dynamodb-aws-privatelink/.
我们可以从其他区域通过接口端点访问 dynamodb -- https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-interface-endpoints.html
Youtube 演示:使用 VPC 接口端点从本地数据中心访问 DynamoDB。 https://www.youtube.com/watch?v=lkQpBu59MiM