AWS PrivateLink Konzepte - Amazon Virtual Private Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS PrivateLink Konzepte

Sie können mithilfe von Amazon VPC eine Virtual Private Cloud (VPC) definieren. Dabei handelt es sich um ein logisch isoliertes virtuelles Netzwerk. Sie können den Clients in Ihrer VPC erlauben, sich mit Zielen außerhalb dieser VPC zu verbinden. Fügen Sie beispielsweise ein Internet-Gateway zur VPC hinzu, um den Zugriff auf das Internet zu ermöglichen, oder fügen Sie eine VPN-Verbindung hinzu, um den Zugriff auf Ihr On-Premises-Netzwerk zu ermöglichen. Alternativ können Sie es AWS PrivateLink den Clients in Ihrer VPC ermöglichen, VPCs über private IP-Adressen eine Verbindung zu Diensten und Ressourcen in anderen Ländern herzustellen, als ob diese Dienste und Ressourcen direkt in Ihrer VPC gehostet würden.

Die folgenden Konzepte sollten Sie verstehen, wenn Sie mit der Verwendung von AWS PrivateLink beginnen.

Architekturdiagramm

Das folgende Diagramm bietet einen allgemeinen Überblick über die Funktionsweise AWS PrivateLink . Verbraucher erstellen VPC-Endpunkte, um eine Verbindung zu Endpunktdiensten und Ressourcen herzustellen, die von Anbietern gehostet werden.

Dienstnutzer erstellen VPC-Endpunkte, um eine Verbindung zu Endpunktdiensten und Ressourcen herzustellen, die von Anbietern gehostet werden.

Anbieter

Machen Sie sich mit den Konzepten eines Anbieters vertraut.

Dienstanbieter

Der Besitzer eines Services ist der Service-Anbieter. Zu den Dienstanbietern gehören AWS AWS Partner und andere AWS-Konten. Dienstanbieter können ihre Dienste mithilfe von AWS Ressourcen wie EC2 Instanzen oder mithilfe von lokalen Servern hosten.

Ressourcenanbieter

Der Besitzer einer Ressource, beispielsweise einer Datenbank oder einer EC2 Amazon-Instance, ist der Ressourcenanbieter. Zu den Ressourcenanbietern gehören AWS Dienste, AWS Partner und andere AWS Konten. Ressourcenanbieter können ihre Ressourcen vor Ort VPCs oder vor Ort hosten.

Endpunkt-Services

Ein Service-Anbieter erstellt einen Endpunkt-Service, um ihren Service in einer Region verfügbar zu machen. Ein Service-Anbieter muss beim Erstellen eines Endpunkt-Services einen Load Balancer angeben. Der Load Balancer erhält Anfragen von Service-Verbrauchern und leitet sie an Ihren Service weiter.

Standardmäßig ist Ihr Endpunkt-Service für Service-Verbraucher nicht verfügbar. Sie müssen Berechtigungen hinzufügen, die es bestimmten AWS Prinzipalen ermöglichen, eine Verbindung zu Ihrem Endpunktdienst herzustellen.

Service-Namen

Jeder Endpunkt-Service wird durch einen Service-Namen identifiziert. Ein Service-Verbraucher muss beim Erstellen eines VPC-Endpunkts den Namen des Services angeben. Dienstnutzer können die Dienstnamen für AWS-Services abfragen. Service-Anbieter müssen die Namen ihrer Services mit den Service-Verbrauchern teilen.

Service-Zustände

Die folgenden Zustände sind für einen Endpunkt-Service möglich:

  • Pending – Der Endpunkt-Service wird gerade erstellt.

  • Available – Der Endpunkt-Service ist verfügbar.

  • Failed – Der Endpunktservice konnte nicht erstellt werden.

  • Deleting – Der Service-Anbieter hat den Endpunkt-Service gelöscht und der Löschvorgang ist im Gange.

  • Deleted – Der Endpunkt-Service wurde gelöscht.

Ressourcenkonfiguration

Der Ressourcenanbieter erstellt eine Ressourcenkonfiguration, um eine Ressource gemeinsam zu nutzen. Eine Ressourcenkonfiguration ist ein logisches Objekt, das entweder eine einzelne Ressource wie eine Datenbank oder eine Gruppe von Ressourcen darstellt. Eine Ressource kann eine IP-Adresse, ein Domainnamenziel oder eine Amazon Relational Database Service (Amazon RDS) -Datenbank sein.

Bei der gemeinsamen Nutzung mit anderen Konten muss der Ressourcenanbieter die Ressource über eine AWS Resource Access Manager(AWS RAM) -Ressourcenfreigabe gemeinsam nutzen, damit bestimmte AWS Prinzipale des anderen Kontos über einen Ressourcen-VPC-Endpunkt eine Verbindung mit der Ressource herstellen können.

Ressourcenkonfigurationen können einem Servicenetzwerk zugeordnet werden, mit dem Principals über einen VPC-Endpunkt im Servicenetzwerk eine Verbindung herstellen.

Ressourcen-Gateway

Ein Ressourcen-Gateway ist ein Zugangspunkt in eine VPC, von dem aus eine Ressource gemeinsam genutzt wird. Der Anbieter erstellt ein Ressourcen-Gateway, um Ressourcen aus der VPC gemeinsam zu nutzen.

Service- oder Ressourcenverbraucher

Der Benutzer eines Dienstes oder einer Ressource ist ein Verbraucher. Verbraucher können von ihren eigenen VPCs oder lokalen Standorten aus auf Endpunktdienste und -ressourcen zugreifen.

VPC-Endpunkte

Ein Verbraucher erstellt einen VPC-Endpunkt, um seine VPC mit einem Endpunktdienst oder einer Endpunktressource zu verbinden. Ein Verbraucher muss bei der Erstellung eines VPC-Endpunkts den Endpunktdienst, die Ressource oder das Dienstnetzwerk angeben. Es gibt mehrere Arten von VPC-Endpunkten. Sie müssen den VPC-Endpunkttyp erstellen, den Sie benötigen.

  • Interface- Erstellen Sie einen Schnittstellenendpunkt, um TCP- oder UDP-Verkehr an einen Endpunktdienst zu senden. Der für den Endpunkt-Service bestimmte Datenverkehr wird mithilfe von DNS aufgelöst.

  • GatewayLoadBalancer – Erstellen Sie einen Gateway-Load-Balancer-Endpunkt, um Datenverkehr an eine Flotte virtueller Appliances unter Verwendung privater IP-Adressen zu senden. Sie können den Datenverkehr von Ihrer VPC mithilfe von Routing-Tabellen an den Gateway-Load-Balancer-Endpunkt leiten. Der Gateway Load Balancer verteilt den Datenverkehr an die virtuellen Appliances und kann je nach Bedarf skalieren.

  • Resource- Erstellen Sie einen Ressourcenendpunkt, um auf eine Ressource zuzugreifen, die mit Ihnen gemeinsam genutzt wurde und sich in einer anderen VPC befindet. Mit einem Ressourcenendpunkt können Sie privat und sicher auf Ressourcen wie eine Datenbank, eine EC2 Amazon-Instance, einen Anwendungsendpunkt, ein Domainnamenziel oder eine IP-Adresse zugreifen, die sich in einem privaten Subnetz in einer anderen VPC oder in einer lokalen Umgebung befinden kann. Für Ressourcenendpunkte ist kein Load Balancer erforderlich, sodass Sie direkt auf die Ressource zugreifen können.

  • Service network- Erstellen Sie einen Servicenetzwerk-Endpunkt, um auf ein Servicenetzwerk zuzugreifen, das Sie erstellt haben oder das für Sie freigegeben wurde. Sie können einen einzelnen Servicenetzwerk-Endpunkt verwenden, um privat und sicher auf mehrere Ressourcen und Dienste zuzugreifen, die einem Servicenetzwerk zugeordnet sind.

Es gibt einen anderen VPC-Endpunkt, Gateway, der einen Gateway-Endpunkt erstellt, um Datenverkehr an Amazon S3 oder DynamoDB zu senden. Gateway-Endpunkte verwenden im AWS PrivateLink Gegensatz zu den anderen Arten von VPC-Endpunkten nicht. Weitere Informationen finden Sie unter Gateway-Endpunkte.

Endpunkt-Netzwerkschnittstellen

Eine Endpunkt-Netzwerkschnittstelle ist eine vom Anforderer verwaltete Netzwerkschnittstelle, die als Einstiegspunkt für Datenverkehr dient, der an einen Endpunktdienst, eine Ressource oder ein Dienstnetzwerk gerichtet ist. Für jedes Subnetz, das Sie beim Erstellen eines VPC-Endpunkts angeben, erstellen wir eine Endpunkt-Netzwerkschnittstelle im Subnetz.

Wenn ein VPC-Endpunkt dies unterstützt IPv4, haben seine Endpunkt-Netzwerkschnittstellen IPv4 Adressen. Wenn ein VPC-Endpunkt dies unterstützt IPv6, haben seine Endpunkt-Netzwerkschnittstellen IPv6 Adressen. Die IPv6 Adresse für eine Endpunkt-Netzwerkschnittstelle ist vom Internet aus nicht erreichbar. Wenn Sie eine Endpunkt-Netzwerkschnittstelle mit einer IPv6 Adresse beschreiben, beachten Sie, dass diese aktiviert denyAllIgwTraffic ist.

Endpunktrichtlinien

Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie Ihrem VPC-Endpunkt anfügen können. Sie bestimmt, welche Prinzipale den VPC-Endpunkt verwenden können, um auf den Endpunkt-Service zuzugreifen. Die standardmäßige VPC-Endpunktrichtlinie erlaubt alle Aktionen aller Prinzipale auf allen Ressourcen über den VPC-Endpunkt.

Endpunktzustände

Wenn Sie einen VPC-Schnittstellen-Endpunkt erstellen, erhält der Endpunktdienst eine Verbindungsanforderung. Der Service-Anbieter kann die Anfrage annehmen oder ablehnen. Wenn der Service-Anbieter die Anforderung akzeptiert, kann der Service-Verbraucher den VPC-Endpunkt verwenden, nachdem er in den Available-Status eingetreten ist.

Die folgenden Zustände sind für einen VPC-Endpunkt möglich:

  • PendingAcceptance – Die Verbindungsanfrage steht noch aus. Dies ist der Ausgangszustand, wenn Anfragen manuell akzeptiert werden.

  • Pending – Der Service-Anbieter hat die Verbindungsanfrage akzeptiert. Dies ist der Ausgangszustand, wenn Anfragen automatisch akzeptiert werden. Der VPC-Endpunkt kehrt in diesen Zustand zurück, wenn der Service-Verbraucher den VPC-Endpunkt ändert.

  • Available – Der VPC-Endpunkt steht zur Verwendung zur Verfügung.

  • Rejected – Der Service-Anbieter hat die Verbindungsanfrage abgelehnt. Der Service-Anbieter kann eine Verbindung auch ablehnen, nachdem sie zur Verwendung verfügbar ist.

  • Expired – Die Verbindungsanfrage ist abgelaufen.

  • Failed – Der VPC-Endpunkt konnte nicht verfügbar gemacht werden.

  • Deleting – Der Service-Verbraucher hat den VPC-Endpunkt gelöscht und der Löschvorgang ist im Gange.

  • Deleted – Der VPC-Endpunkt wurde gelöscht.

Der Datenverkehr von Ihrer VPC wird über eine Verbindung zwischen dem VPC-Endpunkt und dem Endpunktdienst oder der Endpunktressource an einen Endpunktdienst oder eine Endpunktressource gesendet. Der Verkehr zwischen einem VPC-Endpunkt und einem Endpunktdienst oder einer Endpunktressource verbleibt im AWS Netzwerk, ohne das öffentliche Internet zu durchqueren.

Ein Serviceanbieter fügt Berechtigungen hinzu, damit Servicenutzer auf den Endpunktservice zugreifen können. Der Servicenutzer initiiert die Verbindung und der Serviceanbieter akzeptiert die Verbindungsanfrage oder lehnt sie ab. Ein Ressourcenbesitzer oder ein Dienstnetzwerkbesitzer teilt eine Ressourcenkonfiguration oder ein Dienstnetzwerk mit Verbrauchern, AWS Resource Access Manager sodass Verbraucher auf die Ressource oder das Dienstnetzwerk zugreifen können.

Mit Schnittstellen-VPC-Endpunkten können Verbraucher mithilfe von Endpunktrichtlinien steuern, welche IAM-Prinzipale einen VPC-Endpunkt für den Zugriff auf einen Endpunktdienst oder eine Endpunktressource verwenden können.

Private gehostete Zonen

Eine gehostete Zone ist ein Container für DNS-Einträge, die definieren, wie der Datenverkehr für eine Domain oder Subdomain weitergeleitet werden soll. Bei einer öffentlich gehosteten Zone geben die Datensätze an, wie der Datenverkehr im Internet weitergeleitet werden soll. Bei einer privaten gehosteten Zone geben die Aufzeichnungen an, wie der Verkehr in Ihrer Zone weitergeleitet werden soll. VPCs

Sie können Amazon Route 53 so konfigurieren, dass der Domain-Datenverkehr an einen VPC-Endpunkt weitergeleitet wird. Weitere Informationen finden Sie unter Weiterleiten des Datenverkehrs an einen VPC-Endpunkt mit Ihrem Domain-Namen.

Sie können Route 53 verwenden, um Split-Horizon-DNS zu konfigurieren, wobei Sie denselben Domainnamen sowohl für eine öffentliche Website als auch für einen Endpunktdienst verwenden, der von betrieben wird. AWS PrivateLink DNS-Anfragen für den öffentlichen Hostnamen von der Verbraucher-VPC werden in die privaten IP-Adressen der Endpunkt-Netzwerkschnittstellen aufgelöst, aber Anfragen von außerhalb der VPC werden weiterhin an die öffentlichen Endpunkte aufgelöst. Weitere Informationen finden Sie unter DNS-Mechanismen zum Routing des Datenverkehrs und Aktivieren von Failover für AWS PrivateLink -Bereitstellungen.