AWS PrivateLink Konzepte - Amazon Virtual Private Cloud
ArchitekturdiagrammService-AnbieterService-VerbraucherAWS PrivateLink VerbindungenPrivate gehostete Zonen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS PrivateLink Konzepte

Sie können mithilfe von Amazon VPC eine Virtual Private Cloud (VPC) definieren. Dabei handelt es sich um ein logisch isoliertes virtuelles Netzwerk. Sie können AWS Ressourcen in Ihrer VPC starten. Sie können zulassen, dass die Ressourcen in Ihrer VPC eine Verbindung zu Ressourcen außerhalb dieser VPC herstellen. Fügen Sie beispielsweise ein Internet-Gateway zur VPC hinzu, um den Zugriff auf das Internet zu ermöglichen, oder fügen Sie eine VPN-Verbindung hinzu, um den Zugriff auf Ihr On-Premises-Netzwerk zu ermöglichen. Alternativ können Sie es AWS PrivateLink den Ressourcen in Ihrer VPC ermöglichen, über private IP-Adressen eine Verbindung zu Diensten in anderen VPCs herzustellen, als ob diese Dienste direkt in Ihrer VPC gehostet würden.

Die folgenden Konzepte sollten Sie verstehen, wenn Sie mit der Verwendung von AWS PrivateLink beginnen.

Architekturdiagramm

Das folgende Diagramm bietet einen allgemeinen Überblick über die Funktionsweise. AWS PrivateLink Service-Verbraucher erstellen Schnittstellen-VPC-Endpunkte, um eine Verbindung zu Endpunkt-Services herzustellen, die von Service-Anbietern gehostet werden.

Service-Verbraucher erstellen Schnittstellen-VPC-Endpunkte, um eine Verbindung zu Endpunkt-Services herzustellen, die von Service-Anbietern gehostet werden.

Service-Anbieter

Der Besitzer eines Services ist der Service-Anbieter. Zu den Dienstanbietern gehören AWS AWS Partner und andere AWS-Konten. Dienstanbieter können ihre Dienste mithilfe von AWS Ressourcen wie EC2-Instances oder mithilfe von lokalen Servern hosten.

Endpunkt-Services

Ein Service-Anbieter erstellt einen Endpunkt-Service, um ihren Service in einer Region verfügbar zu machen. Ein Service-Anbieter muss beim Erstellen eines Endpunkt-Services einen Load Balancer angeben. Der Load Balancer erhält Anfragen von Service-Verbrauchern und leitet sie an Ihren Service weiter.

Standardmäßig ist Ihr Endpunkt-Service für Service-Verbraucher nicht verfügbar. Sie müssen Berechtigungen hinzufügen, die es bestimmten AWS Prinzipalen ermöglichen, eine Verbindung zu Ihrem Endpunktdienst herzustellen.

Service-Namen

Jeder Endpunkt-Service wird durch einen Service-Namen identifiziert. Ein Service-Verbraucher muss beim Erstellen eines VPC-Endpunkts den Namen des Services angeben. Dienstnutzer können die Dienstnamen für AWS-Services abfragen. Service-Anbieter müssen die Namen ihrer Services mit den Service-Verbrauchern teilen.

Service-Zustände

Die folgenden Zustände sind für einen Endpunkt-Service möglich:

  • Pending – Der Endpunkt-Service wird gerade erstellt.

  • Available – Der Endpunkt-Service ist verfügbar.

  • Failed – Der Endpunktservice konnte nicht erstellt werden.

  • Deleting – Der Service-Anbieter hat den Endpunkt-Service gelöscht und der Löschvorgang ist im Gange.

  • Deleted – Der Endpunkt-Service wurde gelöscht.

Service-Verbraucher

Der Benutzer eines Services ist ein Service-Verbraucher. Dienstnutzer können über AWS Ressourcen wie EC2-Instances oder über lokale Server auf Endpunktdienste zugreifen.

VPC-Endpunkte

Service-Verbraucher können einen VPC-Endpunkt erstellen, um seine VPC mit einem Endpunkt-Service zu verbinden. Ein Service-Verbraucher muss beim Erstellen eines VPC-Endpunkts den Servicenamen des Endpunktservices angeben. Es gibt mehrere Arten von VPC-Endpunkten. Sie müssen die Art von VPC-Endpunkt erstellen, die von dem Endpunktservice benötigt wird.

  • Interface – Erstellen Sie einen Schnittstellenendpunkt, um Netzwerkdatenverkehr zu einem Endpunktservice zu senden. Der für den Endpunkt-Service bestimmte Datenverkehr wird mithilfe von DNS aufgelöst.

  • GatewayLoadBalancer – Erstellen Sie einen Gateway-Load-Balancer-Endpunkt, um Datenverkehr an eine Flotte virtueller Appliances unter Verwendung privater IP-Adressen zu senden. Sie können den Datenverkehr von Ihrer VPC mithilfe von Routing-Tabellen an den Gateway-Load-Balancer-Endpunkt leiten. Der Gateway Load Balancer verteilt den Datenverkehr an die virtuellen Appliances und kann je nach Bedarf skalieren.

Es gibt einen anderen VPC-Endpunkt, Gateway, der einen Gateway-Endpunkt erstellt, um Datenverkehr an Amazon S3 oder DynamoDB zu senden. Gateway-Endpunkte verwenden im AWS PrivateLink Gegensatz zu den anderen Arten von VPC-Endpunkten nicht. Weitere Informationen finden Sie unter Gateway-Endpunkte.

Endpunkt-Netzwerkschnittstellen

Eine Endpunkt-Netzwerkschnittstelle ist eine vom Anforderer verwaltete Netzwerkschnittstelle, die als Einstiegspunkt für Datenverkehr dient, der für einen Endpunkt-Service bestimmt ist. Für jedes Subnetz, das Sie beim Erstellen eines VPC-Endpunkts angeben, erstellen wir eine Endpunkt-Netzwerkschnittstelle im Subnetz.

Wenn ein VPC-Endpunkt IPv4 unterstützt, verfügen Endpunkt-Netzwerkschnittstellen über IPv4-Adressen. Wenn ein VPC-Endpunkt IPv6 unterstützt, verfügen Endpunkt-Netzwerkschnittstellen über IPv6-Adressen. Die IPv6-Adresse für eine Endpunkt-Netzwerkschnittstelle ist aus dem Internet nicht erreichbar. Wenn Sie eine Endpunktnetzwerkschnittstelle mit einer IPv6-Adresse beschreiben, beachten Sie, dass denyAllIgwTraffic aktiviert ist.

Die IP-Adressen einer Endpunkt-Netzwerkschnittstelle ändern sich während der Lebensdauer ihres VPC-Endpunkts nicht.

Endpunktrichtlinien

Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie Ihrem VPC-Endpunkt anfügen können. Sie bestimmt, welche Prinzipale den VPC-Endpunkt verwenden können, um auf den Endpunkt-Service zuzugreifen. Die standardmäßige VPC-Endpunktrichtlinie erlaubt alle Aktionen aller Prinzipale auf allen Ressourcen über den VPC-Endpunkt.

Endpunktzustände

Wenn Sie einen VPC-Endpunkt erstellen, empfängt der Endpunkt-Service eine Verbindungsanfrage. Der Service-Anbieter kann die Anfrage annehmen oder ablehnen. Wenn der Service-Anbieter die Anforderung akzeptiert, kann der Service-Verbraucher den VPC-Endpunkt verwenden, nachdem er in den Available-Status eingetreten ist.

Die folgenden Zustände sind für einen VPC-Endpunkt möglich:

  • PendingAcceptance – Die Verbindungsanfrage steht noch aus. Dies ist der Ausgangszustand, wenn Anfragen manuell akzeptiert werden.

  • Pending – Der Service-Anbieter hat die Verbindungsanfrage akzeptiert. Dies ist der Ausgangszustand, wenn Anfragen automatisch akzeptiert werden. Der VPC-Endpunkt kehrt in diesen Zustand zurück, wenn der Service-Verbraucher den VPC-Endpunkt ändert.

  • Available – Der VPC-Endpunkt steht zur Verwendung zur Verfügung.

  • Rejected – Der Service-Anbieter hat die Verbindungsanfrage abgelehnt. Der Service-Anbieter kann eine Verbindung auch ablehnen, nachdem sie zur Verwendung verfügbar ist.

  • Expired – Die Verbindungsanfrage ist abgelaufen.

  • Failed – Der VPC-Endpunkt konnte nicht verfügbar gemacht werden.

  • Deleting – Der Service-Verbraucher hat den VPC-Endpunkt gelöscht und der Löschvorgang ist im Gange.

  • Deleted – Der VPC-Endpunkt wurde gelöscht.

Datenverkehr von Ihrer VPC wird über eine Verbindung zwischen dem VPC-Endpunkt und dem Endpunktservice an einen Endpunktservice gesendet. Der Verkehr zwischen einem VPC-Endpunkt und einem Endpunktdienst verbleibt im AWS Netzwerk, ohne das öffentliche Internet zu durchqueren.

Ein Serviceanbieter fügt Berechtigungen hinzu, damit Servicenutzer auf den Endpunktservice zugreifen können. Der Servicenutzer initiiert die Verbindung und der Serviceanbieter akzeptiert die Verbindungsanfrage oder lehnt sie ab.

Mit Schnittstellen-VPC-Endpunkten können Servicenutzer Endpunktrichtlinien verwenden, um zu steuern, welche IAM-Prinzipale einen VPC-Endpunkt für den Zugriff auf einen Endpunktservice verwenden können.

Private gehostete Zonen

Eine gehostete Zone ist ein Container für DNS-Einträge, die definieren, wie der Datenverkehr für eine Domain oder Subdomain weitergeleitet werden soll. Bei einer öffentlich gehosteten Zone geben die Datensätze an, wie der Datenverkehr im Internet weitergeleitet werden soll. Bei einer privat gehosteten Zone geben die Datensätze an, wie der Datenverkehr in Ihren VPCs weitergeleitet werden soll.

Sie können Amazon Route 53 so konfigurieren, dass der Domain-Datenverkehr an einen VPC-Endpunkt weitergeleitet wird. Weitere Informationen finden Sie unter Weiterleiten des Datenverkehrs an einen VPC-Endpunkt mit Ihrem Domain-Namen.

Sie können Route 53 verwenden, um Split-Horizon-DNS zu konfigurieren, wobei Sie denselben Domainnamen sowohl für eine öffentliche Website als auch für einen Endpunktdienst verwenden, der von betrieben wird. AWS PrivateLink DNS-Anfragen für den öffentlichen Hostnamen von der Verbraucher-VPC werden in die privaten IP-Adressen der Endpunkt-Netzwerkschnittstellen aufgelöst, aber Anfragen von außerhalb der VPC werden weiterhin an die öffentlichen Endpunkte aufgelöst. Weitere Informationen finden Sie unter DNS-Mechanismen zum Routing des Datenverkehrs und Aktivieren von Failover für AWS PrivateLink -Bereitstellungen.