Partagez vos services via AWS PrivateLink - Amazon Virtual Private Cloud
PrésentationDNSnoms d'hôtesPrivé DNSAccès interrégionalTypes d'adresses IP

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Partagez vos services via AWS PrivateLink

Vous pouvez héberger votre propre service AWS PrivateLink optimisé, appelé service de point de terminaison, et le partager avec d'autres AWS clients.

Table des matières

Présentation

Le schéma suivant montre comment vous partagez votre service hébergé AWS avec d'autres AWS clients, et comment ces clients se connectent à votre service. En tant que fournisseur de services, vous créez un Network Load Balancer dans votre interface en VPC tant que service. Vous sélectionnez ensuite cet équilibreur de charge lorsque vous créez la configuration du service de VPC point de terminaison. Vous accordez l'autorisation à des principaux AWS spécifiques afin qu'ils puissent se connecter à votre service. En tant que consommateur de services, le client crée un point de VPC terminaison d'interface, qui établit des connexions entre les sous-réseaux qu'il sélectionne auprès de son service de point de terminaison VPC et celui de votre service de point de terminaison. L'équilibreur de charge reçoit les demandes du consommateur du service et les achemine vers les cibles hébergeant votre service.

Les consommateurs de services se connectent aux services de terminaux hébergés par des fournisseurs de services.

Pour une faible latence et une haute disponibilité, nous vous recommandons de rendre votre service disponible dans au moins deux zones de disponibilité.

DNSnoms d'hôtes

Lorsqu'un fournisseur de services crée un service de point de VPC terminaison, il AWS génère un DNS nom d'hôte spécifique au point de terminaison pour le service. Les noms ont la syntaxe suivante :

endpoint_service_id.region.vpce.amazonaws.com

Voici un exemple de DNS nom d'hôte pour un service de point de VPC terminaison dans la région us-east-2 :

vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com

Lorsqu'un client de services crée un point de VPC terminaison d'interface, nous créons des DNS noms régionaux et zonaux que le consommateur de services peut utiliser pour communiquer avec le service de point de terminaison. Les noms régionaux ont la syntaxe suivante :

endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com

Les noms zonaux ont la syntaxe suivante :

endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com

Privé DNS

Un fournisseur de services peut également associer un DNS nom privé à son service de point de terminaison, afin que les consommateurs du service puissent continuer à accéder au service en utilisant son DNS nom existant. Si un fournisseur de services associe un DNS nom privé à son service de point de terminaison, les consommateurs de services peuvent activer des DNS noms privés pour les points de terminaison de leur interface. Si un fournisseur de services n'active pas le mode privéDNS, les consommateurs de services devront peut-être mettre à jour leurs applications pour utiliser le DNS nom public du service de point de VPC terminaison. Pour de plus amples informations, veuillez consulter Gérer les DNS noms.

Accès interrégional

Un fournisseur de services peut héberger un service dans une région et le rendre disponible dans un ensemble de régions prises en charge. Un consommateur de services sélectionne une région de service lors de la création d'un point de terminaison.

Autorisations

  • Par défaut, IAM les entités ne sont pas autorisées à rendre un service de point de terminaison disponible dans plusieurs régions ou à accéder à un service de point de terminaison dans plusieurs régions. Pour accorder les autorisations requises pour l'accès entre régions, un IAM administrateur peut créer des IAM politiques qui autorisent l'action avec vpce:AllowMultiRegion autorisation uniquement.

  • Pour contrôler les régions qu'une IAM entité peut spécifier comme région prise en charge lors de la création d'un service de point de terminaison, utilisez la clé de ec2:VpceSupportedRegion condition.

  • Pour contrôler les régions qu'une IAM entité peut spécifier en tant que région de service lors de la création d'un VPC point de terminaison, utilisez la clé de ec2:VpceServiceRegion condition.

Considérations

  • Un fournisseur de services doit choisir une région optionnelle avant de l'ajouter en tant que région prise en charge pour un service de point de terminaison.

  • Votre service de point de terminaison doit être accessible depuis sa région hôte. Vous ne pouvez pas supprimer la région hôte de l'ensemble des régions prises en charge. À des fins de redondance, vous pouvez déployer votre service de point de terminaison dans plusieurs régions et activer l'accès entre régions pour chaque service de point de terminaison.

  • Un consommateur de services doit choisir une région optionnelle avant de la sélectionner comme région de service pour un terminal. Dans la mesure du possible, nous recommandons aux consommateurs d'accéder à un service en utilisant la connectivité intra-régionale plutôt que la connectivité interrégionale. La connectivité intra-régionale permet de réduire la latence et les coûts.

  • Si un fournisseur de services supprime une région de l'ensemble des régions prises en charge, les consommateurs de services ne peuvent pas sélectionner cette région comme région de service lorsqu'ils créent de nouveaux points de terminaison. Notez que cela n'affecte pas l'accès au service de point de terminaison à partir de points de terminaison existants qui utilisent cette région comme région de service.

  • Pour une haute disponibilité, les fournisseurs et les consommateurs doivent utiliser au moins deux zones de disponibilité. Notez que l'accès interrégional ne nécessite pas que les fournisseurs et les consommateurs utilisent les mêmes zones de disponibilité.

  • Avec un accès interrégional, AWS PrivateLink gère le basculement entre les zones de disponibilité. Il ne gère pas le basculement entre les régions.

  • L'accès interrégional n'est pas pris en charge pour les AWS Marketplace services dont le DNS nom est convivial.

  • L'accès entre régions n'est pas pris en charge pour les équilibreurs de charge réseau dont une valeur personnalisée est configurée pour le délai d'TCPinactivité.

  • L'accès entre régions n'est pas pris en charge en cas de UDP fragmentation.

Types d'adresses IP

Les fournisseurs de services peuvent mettre leurs points de terminaison de service à la disposition des consommateurs de services IPv4IPv6, ou IPv4 les deuxIPv6, même si leurs serveurs principaux sont uniquement compatibles. IPv4 Si vous activez le support dualstack, les clients existants peuvent continuer IPv4 à utiliser votre service et les nouveaux consommateurs peuvent choisir de l'utiliser pour accéder IPv6 à votre service.

Si un point de VPC terminaison d'interface est compatibleIPv4, les interfaces réseau du point de terminaison ont IPv4 des adresses. Si un point de VPC terminaison d'interface est compatibleIPv6, les interfaces réseau du point de terminaison ont IPv6 des adresses. L'IPv6adresse d'une interface réseau de point de terminaison n'est pas accessible depuis Internet. Si vous décrivez une interface réseau de point de terminaison avec une IPv6 adresse, notez qu'elle denyAllIgwTraffic est activée.

Conditions requises IPv6 pour activer un service de point de terminaison

  • Les sous-réseaux VPC et du service de point de terminaison doivent être associés à des IPv6 CIDR blocs.

  • Tous les équilibreurs de charge de réseau Network Load Balancers du service de point de terminaison doivent utiliser le type d'adresse IP dualstack. Les cibles n'ont pas besoin de prendre en charge IPv6 le trafic. Si le service traite les adresses IP sources à partir de l'en-tête du protocole proxy version 2, il doit traiter IPv6 les adresses.

Exigences relatives à l'activation IPv6 d'un point de terminaison d'interface

  • Le service de point de terminaison doit prendre en charge IPv6 les demandes.

  • Le type d'adresse IP d'un point de terminaison d'interface doit être compatible avec les sous-réseaux du point de terminaison d'interface, comme décrit ici :

    • IPv4— Attribuez IPv4 des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d'IPv4adresses.

    • IPv6— Attribuez IPv6 des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés IPv6 ne sont que des sous-réseaux.

    • Dualstack — Attribuez à la fois des IPv6 adresses IPv4 et des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent à la fois des plages d'IPv6adresses IPv4 et des plages d'adresses.

DNStype d'adresse IP d'enregistrement pour un point de terminaison d'interface

Le type d'adresse IP d'DNSenregistrement pris en charge par un point de terminaison d'interface détermine les DNS enregistrements que nous créons. Le type d'adresse IP d'DNSenregistrement d'un point de terminaison d'interface doit être compatible avec le type d'adresse IP du point de terminaison d'interface, comme décrit ici :

  • IPv4— Créez des enregistrements A pour les DNS noms privés, régionaux et zonaux. Le type d'adresse IP doit être IPv4ou Dualstack.

  • IPv6— Créez AAAA des enregistrements pour les DNS noms privés, régionaux et zonaux. Le type d'adresse IP doit être IPv6ou Dualstack.

  • Dualstack — Créez A et AAAA enregistrez les noms privés, régionaux et DNS zonaux. Le type d'adresse IP doit être Dualstack.