透過 存取虛擬設備 AWS PrivateLink - Amazon Virtual Private Cloud
概觀IP 地址類型路由

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

透過 存取虛擬設備 AWS PrivateLink

您可以使用 Gateway Load Balancer,將流量散發給網路虛擬設備的機群。設備可用於安全檢查、合規、政策控制和其他聯網服務。您可以在建立VPC端點服務時指定 Gateway Load Balancer。其他 AWS 主體會透過建立 Gateway Load Balancer 端點來存取端點服務。

定價

系統會針對每個可用區域中佈建 Gateway Load Balancer 端點的每個小時向您收費。您也需要為處理的每 GB 資料支付費用。如需詳細資訊,請參閱 AWS PrivateLink 定價

目錄

如需詳細資訊,請參閱 Gateway Load Balancer

概觀

下圖顯示應用程式伺服器如何透過 存取安全設備 AWS PrivateLink。應用程式伺服器會在服務消費者 的子網路中執行VPC。您可以在相同 的另一個子網路中建立 Gateway Load Balancer 端點VPC。VPC 透過網際網路閘道進入服務取用者的所有流量會先路由至 Gateway Load Balancer 端點進行檢查,然後路由至目的地子網路。同樣,離開應用程式伺服器的所有流量會路由至 Gateway Load Balancer 端點,以便進行檢查,然後再透過網際網路閘道傳回。

使用 Gateway Load Balancer 端點來存取安全設備。
從網際網路到應用程式伺服器的流量 (藍色箭頭):

  1. 流量VPC會透過網際網路閘道進入服務消費者。

  2. 根據路由表組態,將流量傳送至 Gateway Load Balancer 端點。

  3. 流量透過安全設備傳送至 Gateway Load Balancer 進行檢查。

  4. 流量會在檢查之後傳回到 Gateway Load Balancer 端點。

  5. 根據路由表組態,將流量傳送至應用程式伺服器。

從應用程式伺服器到網際網路的流量 (橙色箭頭):

  1. 根據路由表組態,將流量傳送至 Gateway Load Balancer 端點。

  2. 流量透過安全設備傳送至 Gateway Load Balancer 進行檢查。

  3. 流量會在檢查之後傳回到 Gateway Load Balancer 端點。

  4. 根據路由表組態,將流量傳送至網際網路閘道。

  5. 流量會傳回網際網路。

IP 地址類型

服務提供者可以透過 IPv4、 IPv6或兩者IPv4和 ,為消費者提供服務端點IPv6,即使其安全設備僅支援 IPv4。如果您啟用雙堆疊支援,現有的消費者可以繼續使用 IPv4 來存取您的服務,而新的消費者可以選擇使用 IPv6 來存取您的服務。

如果 Gateway Load Balancer 端點支援 IPv4,則端點網路介面具有IPv4地址。如果 Gateway Load Balancer 端點支援 IPv6,則端點網路介面具有IPv6地址。無法從網際網路連線端點網路介面IPv6的地址。如果您描述具有 IPv6 地址的端點網路介面,請注意 denyAllIgwTraffic 已啟用。

IPv6 為端點服務啟用 的要求

  • 端點服務的 VPC和 子網路必須具有相關聯的IPv6CIDR區塊。

  • 端點服務的所有 Gateway Load Balancer 都必須使用雙堆疊 IP 地址類型。安全設備不需要支援IPv6流量。

IPv6 為 Gateway Load Balancer 端點啟用 的要求

  • 端點服務必須具有包含 IPv6支援的 IP 地址類型。

  • Gateway Load Balancer 的 IP 地址類型必須與 Gateway Load Balancer 的子網路相容,如下所述:

    • IPv4 – 將IPv4地址指派給端點網路介面。只有在所有選取的子網路都有IPv4地址範圍時,才支援此選項。

    • IPv6 – 將IPv6地址指派給端點網路介面。只有在所有選取的子網路IPv6都是子網路時,才支援此選項。

    • Dualstack – 將 IPv4和 IPv6 地址指派給您的端點網路介面。只有在所有選取的子網路同時具有 IPv4和 IPv6 地址範圍時,才支援此選項。

  • 服務取用者中子網路的路由表VPC必須路由IPv6流量,而這些子網路ACLs的網路必須允許IPv6流量。

路由

若要將流量路由至端點服務,請使用其 ID,將 Gateway Load Balancer 端點指定為路由表中的目標。對於上圖,將路由新增到路由表中,如下所示。請注意,雙堆疊組態包含IPv6路由。

網際網路閘道的路由表

此路由表必須具有路由,將目的地為應用程式伺服器的流量傳送至 Gateway Load Balancer 端點。

目的地 目標
VPC IPv4 CIDR 區域
VPC IPv6 CIDR 區域
Application subnet IPv4 CIDR vpc-endpoint-id
Application subnet IPv6 CIDR vpc-endpoint-id
具有應用程式伺服器的子網路由表

此路由表必須具有路由,將應用程式伺服器傳出的所有流量傳送至 Gateway Load Balancer 端點。

目的地 目標
VPC IPv4 CIDR 區域
VPC IPv6 CIDR 區域
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id
具有 Gateway Load Balancer 端點的子網路由表

此路由表必須將檢查傳回的流量傳送至其最終目的地。對於源自網際網路的流量,本機路由會將流量傳送至應用程式伺服器。對於源自應用程式伺服器的流量,請新增路由,將所有流量傳送至網際網路閘道。

目的地 目標
VPC IPv4 CIDR 區域
VPC IPv6 CIDR 區域
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id