核心摘要
- 通过 AWS PrivateLink for Amazon S3 结合跨境专线,可在中国区 VPC 及本地 IDC 与海外 S3 存储桶之间建立安全私有通道
- 方案核心包含三层配置:海外区域的 Gateway Endpoint 与 Interface Endpoint、Route 53 Inbound/Outbound Resolver、以及本地 DNS 转发规则
- 启用 Private DNS 功能后,客户端无需修改代码或配置,可直接使用标准 S3 域名透明访问,有效规避 DNS 解析异常问题
AWS PrivateLink 实现中国区访问海外 Amazon S3 完整配置指南
随着全球化业务版图的持续扩张,越来越多的中国企业面临一个共同挑战:如何在国内数据中心与海外区域的 Amazon S3 存储桶之间构建安全、合规的私有数据通道。传统的公网访问方式不仅存在安全隐患,还难以满足日益严格的合规性与审计要求。
AWS PrivateLink for Amazon S3 为这一场景提供了理想的解决方案。它支持通过 Direct Connect 专线或 Site-to-Site VPN 等私有连接方式,使用私网 IP 地址直接访问 S3 资源,数据流量全程不经过公共互联网。这种架构在保障数据传输安全性的同时,也能显著降低网络延迟,提升大规模数据传输的稳定性。
方案前提与架构概述
在开始配置之前,需要确保以下网络基础设施已经就绪:
- 亚马逊中国区域 VPC 与海外区域 VPC 之间已完成 China Cross-Border VPC Connection(通过中国三大基础电信运营商跨境线路实现)
- 本地 IDC 与中国区域之间已建立 Direct Connect 专线或 Site-to-Site VPN 连接
- 三地网络(本地 IDC、中国区域 VPC、海外区域 VPC)已实现互联互通
整体方案的技术路径可以概括为:在海外区域创建 S3 的 Gateway Endpoint 与 Interface Endpoint,启用私有 DNS 功能;随后在海外区域部署 Inbound Resolver Endpoint,在中国区域部署 Outbound Resolver Endpoint 并配置转发规则;最后在本地 IDC 的 DNS 解析器上添加条件转发规则。这样一来,无论是中国区域 VPC 内的工作负载,还是本地 IDC 的应用程序,都能通过私有网络直接访问海外 S3 存储桶。
海外区域创建 S3 Gateway Endpoint
Gateway Endpoint 是 VPC 内部访问 S3 的高效通道,它通过路由表条目将 S3 流量直接导向 AWS 内部网络,无需额外的网络接口或 IP 地址。对于同一 VPC 内的 EC2 实例访问 S3,Gateway Endpoint 是成本最优的选择。
配置步骤
- 进入 VPC 控制台,在左侧导航栏的 PrivateLink and Lattice 菜单下点击 Endpoints,然后点击 Create endpoint
- 输入 Name tag,Service category 选择 AWS services,在搜索框中输入 S3 关键字
- 在搜索结果中选择类型为 Gateway 的 com.amazonaws.<region>.s3 服务
- 选择目标 VPC 和需要关联的 Route tables(建议选择私有子网的路由表)
- Policy 默认为 Full access,如有特殊安全需求可自定义策略
- 点击 Create endpoint 完成创建
创建成功后,系统会自动在所选路由表中添加一条指向 S3 prefix list 的路由条目。此时可以在海外区域的 EC2 实例上验证 Gateway Endpoint 是否生效,确认能够正常访问 S3 存储桶。
海外区域创建 S3 Interface Endpoint
Interface Endpoint 是实现跨网络访问 S3 的关键组件。与 Gateway Endpoint 不同,Interface Endpoint 会在指定子网中创建弹性网络接口(ENI),并分配私有 IP 地址。来自本地 IDC 或中国区域的流量可以通过这些私有 IP 地址访问 S3,无需经过公网。
配置步骤
- 进入 VPC 控制台,在 PrivateLink and Lattice 菜单下点击 Endpoints,然后点击 Create endpoint
- 输入 Name tag,Service category 选择 AWS services,搜索 S3 关键字
- 选择类型为 Interface 的 com.amazonaws.<region>.s3 服务
- 选择目标 VPC 和 Subnet(强烈建议选择多个可用区以提高可用性)
- 在 Additional settings 中勾选 Enable DNS name 和 Enable private DNS only for inbound endpoint
- 选择合适的 Security groups(必须放通 HTTP 80 和 HTTPS 443 端口)
- 配置 Policy 后,点击 Create endpoint
私有 DNS 功能详解
勾选 Enable DNS name 启用私有 DNS 后,AWS 会在后台自动执行以下操作:
- 创建一个与该 VPC 关联的私有托管区(Private Hosted Zone)
- 在私有托管区中为 Interface Endpoint 添加资源记录,将以下 S3 DNS 名称解析到对应的私有 IP 地址:
- Regional Bucket:s3.<region>.amazonaws.com
- Control:s3-control.<region>.amazonaws.com
- Access Point:s3-accesspoint.<region>.amazonaws.com
启用私有 DNS 的最大优势在于透明性:客户端应用程序可以继续使用标准的 S3 域名进行访问,无需修改为 Interface Endpoint 的专用域名,代码和配置完全不需要调整。
当勾选 Enable DNS name 时,系统会默认同时勾选 Enable private DNS only for inbound endpoint。这一设置的作用是实现流量分流优化:来自本地网络(通过 Direct Connect 或 VPN)的流量走 Interface Endpoint,而同一 VPC 内的流量则自动走成本更低的 Gateway Endpoint。这种设计既保证了跨网络访问的可达性,又最大程度地控制了成本。
海外区域创建 Inbound Resolver Endpoint
为了让中国区域和本地 IDC 的 DNS 查询能够正确解析到 S3 Interface Endpoint 的私有 IP 地址,需要在海外区域创建 Route 53 Inbound Resolver Endpoint。这个端点将接收来自国内的 DNS 查询请求,并返回正确的解析结果。
配置步骤
- 进入 Route 53 控制台,在左侧导航栏的 Resolver 菜单下点击 Inbound endpoints
- 点击 Create inbound endpoint
- 输入 Endpoint name,Endpoint Category 选择 Default
- 选择目标 VPC 和 Security group(必须放通 TCP 53 和 UDP 53 端口)
- Endpoint Type 选择 IPv4,Protocols 选择 Do53
- 在 IP addresses 部分选择多个可用区的私有子网,并选择自动分配 IP
- 点击 Create inbound endpoint
创建完成后,Inbound Endpoint 会分配两个私网 IP 地址(例如 10.0.12.77 和 10.0.2.151)。请记录这两个 IP 地址,后续配置中国区域的 Outbound Resolver 和本地 DNS 转发规则时需要用到。
中国区域创建 Outbound Resolver Endpoint 和转发规则
在中国区域,需要创建 Outbound Resolver Endpoint 并配置转发规则,将指向海外 S3 域名的 DNS 查询转发到海外区域的 Inbound Endpoint。
创建 Outbound Resolver Endpoint
- 进入 Route 53 控制台,在 Resolver 菜单下点击 Outbound endpoints
- 点击 Create Outbound endpoint
- 输入 Endpoint name,选择目标 VPC 和 Security group(必须放通 TCP 53 和 UDP 53 端口)
- Endpoint Type 选择 IPv4,Protocols 选择 Do53
- 在 IP addresses 部分选择多个可用区的私有子网,并选择自动分配 IP
- 点击 Create outbound endpoint
创建转发规则
- 在 Resolver 菜单下点击 Rules,然后点击 Create rule
- 输入规则 Name,Rule type 选择 Forward
- Domain name 填写 com(这将匹配所有 .com 域名的查询)
- 选择需要关联的 VPC 和上一步创建的 Outbound endpoint
- IP Address Type 选择 IPv4
- 在 Target IP address 中填写海外区域 Inbound Endpoint 的两个 IP 地址(例如 10.0.12.77 和 10.0.2.151)
- 点击 Submit
配置完成后,可以在中国区域的 EC2 实例上进行验证,确认 DNS 查询能够正确解析到 S3 Interface Endpoint 的私有 IP 地址,并且能够成功访问海外 S3 存储桶。
本地 IDC 设置 DNS 转发规则
最后一步是在本地 IDC 的 DNS 解析器上添加条件转发规则。具体配置方法因所使用的 DNS 软件而异。以常见的 BIND 为例,需要在 named.conf 配置文件中添加以下内容:
zone "s3.<region>.amazonaws.com" {
type forward;
forwarders { 10.0.12.77; 10.0.2.151; };
};
其中 10.0.12.77 和 10.0.2.151 为海外区域 Inbound Resolver Endpoint 的私网 IP 地址,<region> 需要替换为实际的海外区域代码。
如果使用其他 DNS 软件(如 Windows DNS Server、Unbound 等),请参考相应软件的条件转发配置文档。核心原理相同:将指向海外 S3 域名的查询转发到海外区域的 Inbound Endpoint。
实施要点与注意事项
安全组配置
- S3 Interface Endpoint 的安全组需放通 TCP 80 和 TCP 443 端口
- Route 53 Resolver Endpoint 的安全组需放通 TCP 53 和 UDP 53 端口
- 建议将源 IP 范围限制为实际需要访问的网段,遵循最小权限原则
高可用性设计
- Interface Endpoint 和 Resolver Endpoint 都应部署在多个可用区
- 本地 DNS 转发规则应配置多个目标 IP 地址,实现故障自动切换
成本优化
- 同一 VPC 内的 S3 访问走 Gateway Endpoint,无额外费用
- 跨网络访问走 Interface Endpoint,按数据处理量计费
- 启用 Enable private DNS only for inbound endpoint 可自动实现流量分流
故障排查
- 使用 nslookup 或 dig 命令验证 DNS 解析结果是否为私有 IP 地址
- 检查各环节的安全组和网络 ACL 配置
- 确认跨境专线和 VPN 连接状态正常
方案优势与适用场景
这套基于 PrivateLink 的跨境 S3 访问方案具备以下核心优势:
- 安全合规:数据流量全程走私有网络,不经过公共互联网,满足金融、医疗等行业的合规要求
- 透明集成:启用私有 DNS 后,客户端无需修改代码或配置,可直接使用标准 S3 域名访问
- 架构灵活:支持中国区域 VPC 和本地 IDC 同时访问海外 S3,适应多种混合云场景
- 成本可控:通过流量分流设计,VPC 内部流量走免费的 Gateway Endpoint
该方案特别适用于以下场景:跨国企业的数据同步与备份、出海业务的日志收集与分析、需要访问海外 SaaS 服务数据的国内应用、以及对数据传输安全性有严格要求的行业客户。对于正在规划多云或混合云架构的企业,可以参考 AWS/GCP 多云账单代付解决方案 获取更多跨云资源管理的实践经验。
需要 AWS 海外区域资源支持? AWS/GCP/多云账单代付 – 免实名 & 支持 USDT 支付 | Payment 解决方案 可为您提供便捷的海外云资源获取渠道,助力跨境业务快速落地。
