AWS NAT Gateway: какие конечные точки AWS VPC мне нужны?

У нас есть VPC с 3 общедоступными подсетями и 3 частными подсетями.

Общедоступные подсети достигают Интернета через Интернет-шлюз. Частные подсети достигают Интернета через собственный NAT-шлюз (по одному для каждой).

После создания пары сред пакетных вычислений и лямбда-выражений, работающих в частных подсетях, наш счет увеличивается с трафиком шлюза NAT.

Мы забыли создать конечные точки VPC для S3 и SecretManager. Хорошо, мы создали эти конечные точки.

Но наш счет за трафик шлюза NAT по-прежнему слишком велик.

Мы активировали журналы потоков и начали наш квест.

Мы исследовали трафик между шлюзами NAT и Интернетом. Весь трафик https. Мы пришли к выводу, что это сервисы AWS вызывают API других сервисов AWS.

Мы создаем несколько других узлов VPC, и это работает. Трафик нашего NAT-шлюза был меньше, чем раньше. Но у нас еще был https-трафик. Наши приложения не создают этот трафик. Итак, нам нужно больше конечных точек AWS VPC. У AWS VPC Enpoints есть стоимость.

Как мы можем узнать, какие точки VPC нам нужны?

Журналы потоков - это не семислойные журналы. Есть какой-нибудь способ перехватить трафик?