Condividi i tuoi servizi tramite AWS PrivateLink - Amazon Virtual Private Cloud
PanoramicaDNSnomi hostPrivato DNSAccesso tra regioniTipi di indirizzi IP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condividi i tuoi servizi tramite AWS PrivateLink

È possibile ospitare il proprio servizio AWS PrivateLink fornito, noto come servizio endpoint, e condividerlo con altri AWS clienti.

Indice

Panoramica

Il diagramma seguente mostra come condividi il servizio ospitato AWS con altri AWS clienti e come questi clienti si connettono al tuo servizio. In qualità di fornitore di servizi, crei un Network Load Balancer nel tuo VPC front-end as the service. Quindi selezioni questo load balancer quando crei la configurazione del servizio VPC endpoint. Concedi l'autorizzazione a principali AWS specifici in modo che possano connettersi al servizio. In qualità di consumatore del servizio, il cliente crea un VPC endpoint di interfaccia che stabilisce le connessioni tra le sottoreti selezionate e il servizio endpoint dell'utente. VPC Il load balancer riceve le richieste dagli utenti del servizio e le instrada alle destinazioni che lo ospitano.

I consumatori di servizi si connettono ai servizi endpoint ospitati dai provider di servizi.

Per una bassa latenza e una disponibilità elevata, consigliamo di rendere il servizio disponibile in almeno due zone di disponibilità.

DNSnomi host

Quando un provider di servizi crea un servizio VPC endpoint, AWS genera un nome host specifico per l'endpoint DNS per il servizio. Questi nomi sono caratterizzati dalla sintassi seguente:

endpoint_service_id.region.vpce.amazonaws.com

Di seguito è riportato un esempio di DNS nome host per un servizio VPC endpoint nella regione us-east-2:

vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com

Quando un consumatore di servizi crea un VPC endpoint di interfaccia, creiamo DNS nomi regionali e zonali che il consumatore del servizio può utilizzare per comunicare con il servizio endpoint. I nomi regionali sono caratterizzati dalla sintassi seguente:

endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com

I nomi zonali sono caratterizzati dalla sintassi seguente:

endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com

Privato DNS

Un fornitore di servizi può anche associare un DNS nome privato al proprio servizio endpoint, in modo che gli utenti del servizio possano continuare ad accedere al servizio utilizzando il DNS nome esistente. Se un fornitore di servizi associa un DNS nome privato al proprio servizio di endpoint, i consumatori di servizi possono abilitare DNS nomi privati per i propri endpoint di interfaccia. Se un fornitore di servizi non abilita il servizio privatoDNS, gli utenti del servizio potrebbero dover aggiornare le proprie applicazioni per utilizzare il DNS nome pubblico del VPC servizio endpoint. Per ulteriori informazioni, consulta Gestisci i nomi DNS.

Accesso tra regioni

Un provider di servizi può ospitare un servizio in una regione e renderlo disponibile in una serie di regioni supportate. Un consumatore di servizi seleziona una regione di servizio durante la creazione di un endpoint.

Autorizzazioni

  • Per impostazione predefinita, IAM le entità non sono autorizzate a rendere disponibile un servizio endpoint in più regioni o ad accedere a un servizio endpoint in più regioni. Per concedere le autorizzazioni necessarie per l'accesso tra aree geografiche, un IAM amministratore può creare IAM politiche che consentano l'azione di sola autorizzazione. vpce:AllowMultiRegion

  • Per controllare le regioni che un'IAMentità può specificare come regione supportata durante la creazione di un servizio endpoint, utilizza la chiave condition. ec2:VpceSupportedRegion

  • Per controllare le regioni che un'IAMentità può specificare come regione di servizio durante la creazione di un VPC endpoint, usa la chiave ec2:VpceServiceRegion condition.

Considerazioni

  • Un fornitore di servizi deve aderire a una regione con consenso esplicito prima di aggiungerla come regione supportata per un servizio endpoint.

  • Il servizio endpoint deve essere accessibile dalla regione ospitante. Non è possibile rimuovere la regione ospitante dal set di regioni supportate. Per motivi di ridondanza, puoi distribuire il servizio endpoint in più regioni e abilitare l'accesso interregionale per ogni servizio endpoint.

  • Un consumatore di servizi deve aderire a una regione opzionale prima di selezionarla come regione di servizio per un endpoint. Ove possibile, consigliamo agli utenti del servizio di accedere a un servizio utilizzando la connettività interregionale anziché la connettività interregionale. La connettività intraregionale offre una latenza inferiore e costi inferiori.

  • Se un fornitore di servizi rimuove una regione dal set di regioni supportate, gli utenti del servizio non possono selezionare tale regione come regione di servizio quando creano nuovi endpoint. Tieni presente che ciò non influisce sull'accesso al servizio endpoint dagli endpoint esistenti che utilizzano questa regione come regione del servizio.

  • Per un'elevata disponibilità, sia i fornitori che i consumatori devono utilizzare almeno due zone di disponibilità. Tieni presente che l'accesso tra regioni non richiede che fornitori e consumatori utilizzino le stesse zone di disponibilità.

  • Con l'accesso interregionale, AWS PrivateLink gestisce il failover tra zone di disponibilità. Non gestisce il failover tra le regioni.

  • L'accesso tra regioni non è supportato per Marketplace AWS i servizi con un nome intuitivoDNS.

  • L'accesso tra regioni non è supportato per i Network Load Balancer con un valore personalizzato configurato per il timeout di inattività. TCP

  • L'accesso tra regioni non è supportato con la frammentazione. UDP

Tipi di indirizzi IP

I provider di servizi possono rendere disponibili i propri endpoint di servizio agli utenti del servizio tramite o entrambi IPv4 IPv6IPv6, anche se i IPv4 server di backend supportano solo il supporto. IPv4 Se abiliti il supporto dualstack, i consumatori esistenti possono continuare a utilizzarlo per accedere IPv4 al tuo servizio e i nuovi consumatori possono scegliere di utilizzare IPv6 per accedere al tuo servizio.

Se un VPC endpoint di interfaccia supportaIPv4, le interfacce di rete degli endpoint dispongono di indirizzi. IPv4 Se un VPC endpoint di interfaccia supportaIPv6, le interfacce di rete degli endpoint dispongono di indirizzi. IPv6 L'IPv6indirizzo per un'interfaccia di rete endpoint non è raggiungibile da Internet. Se descrivi un'interfaccia di rete endpoint con un IPv6 indirizzo, nota che è abilitata. denyAllIgwTraffic

Requisiti per l'attivazione IPv6 di un servizio endpoint

  • Le sottoreti VPC e per il servizio endpoint devono avere blocchi associati. IPv6 CIDR

  • Tutti i Network Load Balancer per il servizio endpoint devono utilizzare il tipo di indirizzo IP dualstack. Non è necessario che gli obiettivi supportino il traffico. IPv6 Se il servizio elabora gli indirizzi IP di origine dall'intestazione del protocollo proxy versione 2, deve elaborare IPv6 gli indirizzi.

Requisiti da abilitare IPv6 per un endpoint di interfaccia

  • Il servizio endpoint deve supportare IPv6 le richieste.

  • Il tipo di indirizzo IP di un endpoint dell'interfaccia deve essere compatibile con le sottoreti dell'endpoint dell'interfaccia, come descritto di seguito:

    • IPv4— Assegna IPv4 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate hanno intervalli di indirizzi. IPv4

    • IPv6— Assegna IPv6 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate sono solo sottoreti. IPv6

    • Dualstack: assegna entrambi IPv4 gli indirizzi alle interfacce di rete degli endpoint. IPv6 Questa opzione è supportata solo se tutte le sottoreti selezionate hanno entrambi gli intervalli di indirizzi. IPv4 IPv6

DNSregistra il tipo di indirizzo IP per un endpoint di interfaccia

Il tipo di indirizzo IP del DNS record supportato da un endpoint di interfaccia determina i DNS record che creiamo. Il tipo di indirizzo IP di DNS record di un endpoint di interfaccia deve essere compatibile con il tipo di indirizzo IP dell'endpoint di interfaccia, come descritto di seguito:

  • IPv4— Crea record A per i nomi privati, regionali e DNS zonali. Il tipo di indirizzo IP deve essere IPv4o Dualstack.

  • IPv6— Crea AAAA record per i nomi privati, regionali e zonali. DNS Il tipo di indirizzo IP deve essere IPv6o Dualstack.

  • Dualstack: crea A e AAAA record per i nomi privati, regionali e zonali. DNS Il tipo di indirizzo IP deve essere Dualstack.