为什么 public 必须在 AWS Direct Connect + VPN 设置中使用 VIF?

Why public VIF must be used in AWS Direct Connect + VPN setup?

我不确定为什么 public 必须在 AWS Direct Connect + VPN setup. Usually if you are connecting to Virtual Private Gateway you should use private VIF as shown in AWS Managed VPN 中使用 VIF。为什么在这种情况下必须使用 public VIF?

AWS Direct Connect + VPN 示意图:

AWS 托管 VPN 图表:

编辑 1:
通过观看 AWS re:Invent 2018: AWS VPN Solutions (NET304) 得到了更好的理解。我们需要 public VIF,因为 AWS Site-to-Site VPN 在虚拟专用网关上创建两个 public 端点,它们仅对 public VIF 可见。该演讲的图表:

Public VIF 支持通过我们自己的 VPC 内的私有 IP 地址无法访问的服务的直接网络访问。像 S3、Kinesis 等

我们只能通过私有 VIF 访问 VPC 中具有私有 ip 的资源。例如 RDS、EC2 等

原因是解决方案的AWS点对点服务部分不驻留在VPC内,它直接创建了客户网关和虚拟专用网关之间的关系。

当您创建此连接时,在隧道详细信息中您会发现您获得了 2 个 public IP 地址(需要明确的是,私有 VIF 将仅与单个 VPC 网络范围通信)。

另一方面,public VIF 将公布在亚马逊内找到的所有 public IP address ranges。当服务解析为属于此范围内的 public IP 地址时,public VIF 会通告更理想的路由以使用您的新 Direct Connect 连接。