AWS PrivateLink conceptos - Amazon Virtual Private Cloud

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS PrivateLink conceptos

Puede utilizar Amazon VPC para definir una nube privada virtual (VPC), que es una red virtual aislada lógicamente. Puede permitir que los clientes de su VPC se conecten a destinos fuera de esa VPC. Por ejemplo, agregue una puerta de enlace de Internet a la VPC para permitir el acceso a Internet o agregue una conexión de VPN para permitir el acceso a su red en las instalaciones. También puede utilizar esta opción AWS PrivateLink para permitir que los clientes de su VPC se conecten a servicios y recursos de otras VPCs mediante direcciones IP privadas, como si esos servicios y recursos estuvieran alojados directamente en su VPC.

Los siguientes conceptos son importantes y deben comprenderse cuando se comienza a utilizar AWS PrivateLink.

Diagrama de arquitectura

El siguiente diagrama proporciona una descripción general de alto nivel de su funcionamiento AWS PrivateLink . Los consumidores crean puntos de enlace de VPC para conectarse a los servicios y recursos de puntos finales alojados por los proveedores.

Los consumidores de servicios crean puntos de enlace de VPC para conectarse a los servicios y recursos de puntos finales alojados por los proveedores.

Proveedores

Comprenda los conceptos relacionados con un proveedor.

Proveedor de servicios

El propietario de un servicio es el proveedor del servicio. Los proveedores de servicios incluyen AWS AWS socios y otros Cuentas de AWS. Los proveedores de servicios pueden alojar sus servicios mediante AWS recursos, como EC2 instancias, o mediante servidores locales.

Proveedor de recursos

El propietario de un recurso, por ejemplo, una base de datos o una EC2 instancia de Amazon, es el proveedor del recurso. Los proveedores de recursos incluyen AWS servicios, AWS socios y otras AWS cuentas. Los proveedores de recursos pueden alojar sus recursos en las instalaciones VPCs o de forma local.

Servicios de punto de conexión

Un proveedor de servicio crea un servicio de punto de conexión para que su servicio esté disponible en una región. Un proveedor de servicio debe especificar un equilibrador de carga cuando crea un servicio de punto de conexión. El equilibrador de carga recibe solicitudes de los consumidores del servicio y las dirige al servicio.

De forma predeterminada, el servicio de punto de conexión no está disponible para los consumidores del servicio. Debe agregar permisos que permitan a entidades AWS principales específicas conectarse a su servicio de punto final.

Nombres de servicios

Cada servicio de punto de conexión se identifica con un nombre de servicio. El consumidor del servicio debe especificar el nombre del servicio cuando crea un punto de conexión de VPC. Los consumidores de servicios pueden consultar los nombres de los Servicios de AWS servicios. Los proveedores de servicios deben compartir los nombres de sus servicios con los consumidores de servicios.

Estados del servicio

A continuación, se muestran los posibles estados de un servicio de punto de conexión:

  • Pending: el servicio de punto de conexión se está creando.

  • Available: el servicio de punto de conexión está disponible.

  • Failed: el servicio de punto de conexión no se pudo crear.

  • Deleting: el proveedor del servicio eliminó el servicio de punto de conexión y la eliminación está en curso.

  • Deleted: el servicio de punto de conexión se eliminó.

Configuración de recursos

El proveedor de recursos crea una configuración de recursos para compartir un recurso. Una configuración de recursos es un objeto lógico que representa un único recurso, como una base de datos, o un grupo de recursos. Un recurso puede ser una dirección IP, un destino de nombre de dominio o una base de datos de Amazon Relational Database Service (Amazon RDS).

Al compartir con otras cuentas, el proveedor de recursos debe compartir el recurso a través de un recurso compartido AWS Resource Access Manager(AWS RAM) para permitir que entidades AWS principales específicas de la otra cuenta se conecten al recurso a través de un punto final de VPC de recursos.

Las configuraciones de recursos se pueden asociar a una red de servicio a la que se conectan los principales a través de un punto final de VPC de la red de servicio.

Puerta de enlace de recursos

Una puerta de enlace de recursos es un punto de entrada a una VPC desde el que se comparte un recurso. El proveedor crea una puerta de enlace de recursos para compartir los recursos de la VPC.

Consumidores de servicios o recursos

El usuario de un servicio o recurso es un consumidor. Los consumidores pueden acceder a los servicios y recursos de los puntos finales desde sus instalaciones VPCs o desde ellas.

Puntos de conexión de VPC

Un consumidor crea un punto final de VPC para conectar su VPC a un servicio o recurso de punto final. El consumidor debe especificar el servicio de punto final, el recurso o la red de servicios al crear un punto final de VPC. Hay varios tipos de puntos de conexión de VPC. Debe crear el tipo de punto final de VPC que necesite.

  • Interface- Cree un punto final de interfaz para enviar el tráfico TCP o UDP a un servicio de punto final. El tráfico destinado al servicio de punto de conexión se resuelve mediante DNS.

  • GatewayLoadBalancer: se crea un punto de conexión del equilibrador de carga de la puerta de enlace para enviar tráfico a una flota de dispositivos virtuales mediante direcciones IP privadas. El tráfico se enruta desde su VPC al punto de conexión del equilibrador de carga de la puerta de enlace mediante tablas de enrutamiento. El equilibrador de carga de la puerta de enlace distribuye el tráfico a los dispositivos virtuales y puede escalar en función de la demanda.

  • Resource- Cree un punto final de recurso para acceder a un recurso que se compartió con usted y que reside en otra VPC. Un punto de enlace de recursos le permite acceder de forma privada y segura a recursos como una base de datos, una EC2 instancia de Amazon, un punto de enlace de aplicación, un destino de nombre de dominio o una dirección IP que puede estar en una subred privada de otra VPC o en un entorno local. Los puntos de enlace de recursos no requieren un balanceador de carga y te permiten acceder al recurso directamente.

  • Service network- Cree un punto final de red de servicios para acceder a una red de servicios que haya creado o que haya compartido con usted. Puede utilizar un único punto final de la red de servicios para acceder de forma privada y segura a varios recursos y servicios asociados a una red de servicios.

Hay otro tipo de punto de conexión de VPC, Gateway, que crea un punto de conexión de puerta de enlace para enviar tráfico a Amazon S3 o a DynamoDB. Los puntos de enlace de puerta de enlace no utilizan AWS PrivateLink, a diferencia de los otros tipos de puntos de enlace de VPC. Para obtener más información, consulte Puntos de conexión de la puerta de enlace.

Interfaces de red de punto de conexión

Una interfaz de red de punto final es una interfaz de red administrada por el solicitante que sirve como punto de entrada para el tráfico destinado a un servicio, recurso o red de servicio de punto final. Para cada subred que especifica cuando crea un punto de conexión de VPC, creamos una interfaz de red de punto de conexión en la subred.

Si un punto final de VPC es compatible IPv4, sus interfaces de red de punto final tienen IPv4 direcciones. Si un punto final de VPC es compatible IPv6, sus interfaces de red de punto final tienen IPv6 direcciones. No se puede acceder a la IPv6 dirección de la interfaz de red de un punto final desde Internet. Cuando describa una interfaz de red de punto final con una IPv6 dirección, observe que denyAllIgwTraffic está habilitada.

Políticas de punto de conexión

Una política de punto de conexión de VPC es una política de recursos de IAM que se adjunta a un punto de conexión de VPC. Determina qué entidades principales pueden utilizar el punto de conexión de VPC para acceder al servicio de punto de conexión. La política de punto de conexión de VPC predeterminada permite que todas las entidades principales realicen todas las acciones en todos los recursos del punto de conexión de VPC.

Estados del punto de conexión

Al crear un punto final de VPC de interfaz, el servicio de punto final recibe una solicitud de conexión. El proveedor del servicio puede aceptar o rechazar la solicitud. Si el proveedor del servicio acepta la solicitud, el consumidor del servicio puede utilizar el punto de conexión de VPC una vez que esté en estado Available.

A continuación, se muestran los posibles estados de un punto de conexión de VPC:

  • PendingAcceptance: la solicitud de conexión está pendiente. Este es el estado inicial si las solicitudes se aceptan de forma manual.

  • Pending: el proveedor del servicio ha aceptado la solicitud de conexión. Este es el estado inicial si las solicitudes se aceptan de forma automática. El punto de conexión de VPC vuelve a este estado si el consumidor del servicio modifica el punto de conexión de VPC.

  • Available: el punto de conexión de VPC está disponible para su uso.

  • Rejected: el proveedor del servicio rechazó la solicitud de conexión. El proveedor del servicio también puede rechazar una conexión después de que esté disponible para su uso.

  • Expired: la solicitud de conexión caducó.

  • Failed: el punto de conexión de VPC no está disponible.

  • Deleting: el consumidor del servicio eliminó el punto de conexión de VPC y la eliminación está en curso.

  • Deleted: el punto de conexión de VPC se ha eliminado.

El tráfico de la VPC se envía a un servicio o recurso de punto final mediante una conexión entre el punto final de la VPC y el servicio o recurso de punto final. El tráfico entre un punto final de VPC y un servicio o recurso de punto final permanece dentro de la AWS red, sin atravesar la Internet pública.

Un proveedor de servicios agrega permisos para que los consumidores del servicio puedan acceder al servicio de punto de conexión. Los consumidores del servicio inician la conexión y el proveedor de servicios acepta o rechaza la solicitud de conexión. El propietario de un recurso o de una red de servicios comparte una configuración de recursos o una red de servicios con los consumidores AWS Resource Access Manager para que estos puedan acceder a la red de recursos o servicios.

Con los puntos de enlace de VPC de interfaz, los consumidores pueden usar políticas de puntos finales para controlar qué entidades principales de IAM pueden usar un punto final de VPC para acceder a un servicio o recurso de punto final.

Zonas alojadas privadas

Una zona alojada es un contenedor de registros DNS que define cómo enrutar el tráfico de un dominio o un subdominio. Con una zona alojada pública, los registros especifican cómo enrutar el tráfico en Internet. Con una zona alojada privada, los registros especifican cómo enrutar el tráfico en la suya. VPCs

Puede configurar Amazon Route 53 para dirigir el tráfico del dominio a un punto de conexión de VPC. Para obtener más información, consulte Enrutamiento del tráfico a un punto de conexión de VPC mediante el nombre de dominio.

Puede usar Route 53 para configurar un DNS de horizonte dividido, en el que se usa el mismo nombre de dominio tanto para un sitio web público como para un servicio de punto final con tecnología. AWS PrivateLink Las solicitudes DNS para el nombre de host público de la VPC del consumidor se resuelven en las direcciones IP privadas de las interfaces de red de punto de conexión, pero las solicitudes desde fuera de la VPC continúan resolviéndose en los puntos de conexión públicos. Para obtener más información, consulte Mecanismos de DNS para dirigir el tráfico y habilitar la conmutación por error para las implementaciones de AWS PrivateLink.