Acceso a Servicios de AWS través de AWS PrivateLink - Amazon Virtual Private Cloud
Información generalDNSnombres de hostDNSresoluciónPrivada DNSSubredes y zonas de disponibilidadTipos de direcciones IP

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceso a Servicios de AWS través de AWS PrivateLink

Usted accede a un punto final y lo Servicio de AWS utiliza. Los puntos finales del servicio predeterminados son las interfaces públicas, por lo que debe agregar una puerta de enlace a VPC Internet para que el tráfico pueda llegar de allí VPC a. Servicio de AWS Si esta configuración no cumple con los requisitos de seguridad de su red, puede utilizarla AWS PrivateLink para conectarse a ella VPC Servicios de AWS como si estuvieran en la suyaVPC, sin necesidad de utilizar una puerta de enlace a Internet.

Puede acceder de forma privada a las Servicios de AWS que se integran mediante el AWS PrivateLink uso de VPC puntos finales. Puede crear y administrar todas las capas de la pila de aplicaciones sin utilizar una puerta de enlace de Internet.

Precios

Se le facturará por cada hora que se aprovisione el VPC punto final de la interfaz en cada zona de disponibilidad. También se le factura por GB de datos procesados. Para obtener más información, consulte AWS PrivateLink Precios.

Contenido

Información general

Puede acceder a Servicios de AWS través de sus puntos finales de servicio público o conectarse a un usuario compatible Servicios de AWS . AWS PrivateLink Esta descripción general compara estos métodos.

Acceso a través de puntos de conexión de servicio públicos

El siguiente diagrama muestra cómo las instancias acceden a Servicios de AWS través de los puntos finales del servicio público. El tráfico hacia y Servicio de AWS desde una instancia de una subred pública se enruta a la puerta de enlace de Internet para VPC y, después, a. Servicio de AWS El tráfico hacia y Servicio de AWS desde una instancia de una subred privada se enruta a una NAT puerta de enlace, luego a la puerta de enlace de Internet para yVPC, por último, a la. Servicio de AWS Mientras este tráfico atraviesa la puerta de enlace de Internet, no sale de la red. AWS

El tráfico que entra y Servicio de AWS sale de ella VPC a través de una pasarela de Internet, pero permanece en la AWS red.
Conéctese a través de AWS PrivateLink

En el siguiente diagrama se muestra cómo Servicios de AWS acceden las instancias AWS PrivateLink. En primer lugar, debe crear un VPC punto final de interfaz, que establece las conexiones entre las subredes de su red VPC y las interfaces de red que las Servicio de AWS utilizan. El tráfico destinado a ellas Servicio de AWS se resuelve en las direcciones IP privadas de las interfaces de red de los puntos finales que utilizan yDNS, a continuación, se envía a Servicio de AWS ellas mediante la conexión entre el VPC punto final y el Servicio de AWS.

El tráfico de una subred utiliza un VPC punto final de interfaz para conectarse a un Servicio de AWS.

Servicios de AWS acepta las solicitudes de conexión automáticamente. El servicio no puede iniciar solicitudes a los recursos a través del VPC punto final.

DNSnombres de host

La mayoría Servicios de AWS ofrecen puntos finales regionales públicos, que tienen la siguiente sintaxis.

protocol://service_code.region_code.amazonaws.com

Por ejemplo, el punto final público de Amazon CloudWatch en us-east-2 es el siguiente.

https://monitoring.us-east-2.amazonaws.com

Con AWS PrivateLink, se envía tráfico al servicio mediante puntos de enlace privados. Cuando crea un VPC punto final de interfaz, creamos DNS nombres regionales y zonales que puede utilizar para comunicarse con el suyo Servicio de AWS . VPC

El DNS nombre regional del VPC punto final de la interfaz tiene la siguiente sintaxis:

endpoint_id.service_id.region.vpce.amazonaws.com

Los DNS nombres zonales tienen la siguiente sintaxis:

endpoint_id-az_name.service_id.region.vpce.amazonaws.com

Al crear un VPC punto final de interfaz para un Servicio de AWS, puede habilitar el privado DNS. Con el modo privadoDNS, puede seguir realizando solicitudes a un servicio utilizando el DNS nombre de su punto final público y, al mismo tiempo, aprovechar la conectividad privada a través del VPC punto final de la interfaz. Para obtener más información, consulte DNSresolución.

El siguiente describe-vpc-endpointscomando muestra las DNS entradas de un punto final de la interfaz.

aws ec2 describe-vpc-endpoints --vpc-endpoint-id vpce-099deb00b40f00e22 --query VpcEndpoints[*].DnsEntries

El siguiente es un ejemplo de salida para un punto final de interfaz para Amazon CloudWatch con DNS nombres privados habilitados. La primera entrada es el punto de conexión regional privado. Las siguientes tres entradas son los puntos de conexión de zona privados. La entrada final proviene de la zona alojada privada y oculta, que resuelve las solicitudes al punto de conexión público para las direcciones IP privadas de las interfaces de red del punto de conexión.

[
    [
        {
            "DnsName": "vpce-099deb00b40f00e22-lj2wisx3.monitoring.us-east-2.vpce.amazonaws.com",
            "HostedZoneId": "ZC8PG0KIFKBRI"
        },
        {
            "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2c.monitoring.us-east-2.vpce.amazonaws.com",
            "HostedZoneId": "ZC8PG0KIFKBRI"
        },
        {
            "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2a.monitoring.us-east-2.vpce.amazonaws.com",
            "HostedZoneId": "ZC8PG0KIFKBRI"
        },
        {
            "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2b.monitoring.us-east-2.vpce.amazonaws.com",
            "HostedZoneId": "ZC8PG0KIFKBRI"
        },
        {
            "DnsName": "monitoring.us-east-2.amazonaws.com",
            "HostedZoneId": "Z06320943MMOWYG6MAVL9"
        }
    ]
]

DNSresolución

Los DNS registros que creamos para el VPC punto final de su interfaz son públicos. Por lo tanto, estos DNS nombres se pueden resolver públicamente. Sin embargo, DNS las solicitudes externas VPC siguen devolviendo las direcciones IP privadas de las interfaces de red de los puntos finales, por lo que estas direcciones IP no se pueden utilizar para acceder al servicio de puntos finales a menos que usted tenga acceso al. VPC

Privada DNS

Si habilita la privacidad DNS para el VPC punto final de la interfaz y VPC tiene habilitados tanto DNSlos nombres de host como la DNS resolución, crearemos una zona AWS alojada privada y gestionada oculta para usted. La zona alojada contiene un conjunto de registros con el DNS nombre predeterminado del servicio que lo resuelve en las direcciones IP privadas de las interfaces de red de los puntos finales de su cuenta. VPC Por lo tanto, si ya tiene aplicaciones que envían solicitudes a un Servicio de AWS punto final regional público, esas solicitudes ahora pasan por las interfaces de red del punto final, sin necesidad de realizar ningún cambio en esas aplicaciones.

Le recomendamos que habilite DNS los nombres privados para sus VPC puntos de conexión. Servicios de AWS Esto garantiza que las solicitudes que utilizan los puntos finales de servicio público, como las solicitudes realizadas a través de un punto de conexión AWS SDK, lleguen a su VPC punto final.

Amazon le proporciona un DNS servidorVPC, llamado Route 53 Resolver. El Solucionador de Route 53 resuelve automáticamente los nombres de VPC dominio y los registros locales en zonas alojadas privadas. Sin embargo, no puede usar el Route 53 Resolver desde fuera de su casaVPC. Si desea acceder a su VPC punto final desde la red local, puede usar los puntos finales y las reglas del Resolver de Route 53. Para obtener más información, consulte Integración AWS Transit Gateway con AWS PrivateLink y. Amazon Route 53 Resolver

Subredes y zonas de disponibilidad

Puede configurar su VPC terminal con una subred por zona de disponibilidad. Creamos una interfaz de red de puntos finales para el VPC punto final de su subred. Asignamos direcciones IP a cada interfaz de red de punto final desde su subred, en función del tipo de dirección IP del VPC punto final. Las direcciones IP de la interfaz de red de un punto final no cambiarán durante la vida útil de su VPC punto final.

En un entorno de producción, para una alta disponibilidad y resiliencia, recomendamos lo siguiente:

  • Configure al menos dos zonas de disponibilidad por VPC punto final e implemente AWS los recursos que deben acceder a ellas Servicio de AWS en estas zonas de disponibilidad.

  • Configure DNS los nombres privados del VPC punto final.

  • Acceda al Servicio de AWS mediante su DNS nombre regional, también conocido como punto final público.

El siguiente diagrama muestra un VPC punto final para Amazon CloudWatch con una interfaz de red de puntos finales en una única zona de disponibilidad. Cuando un recurso de cualquier subred de la red VPC accede a Amazon CloudWatch mediante su punto de conexión público, resolvemos el tráfico a la dirección IP de la interfaz de red de punto final. Esto incluye el tráfico procedente de subredes de otras zonas de disponibilidad. Sin embargo, si la zona de disponibilidad 1 se ve afectada, los recursos de la zona de disponibilidad 2 pierden el acceso a Amazon CloudWatch.

Un VPC punto final de interfaz para Amazon CloudWatch habilitado para una única zona de disponibilidad.

El siguiente diagrama muestra un VPC punto final para Amazon CloudWatch con interfaces de red de puntos finales en dos zonas de disponibilidad. Cuando un recurso de cualquier subred de la red VPC accede a Amazon CloudWatch mediante su punto de conexión público, seleccionamos una interfaz de red de puntos de conexión en buen estado y utilizamos el algoritmo de turnos rotativos para alternar entre ellos. A continuación, resolvemos el tráfico dirigido a la dirección IP de la interfaz de red de punto de conexión seleccionada.

Un VPC punto final de interfaz para Amazon CloudWatch habilitado para múltiples zonas de disponibilidad.

Si es mejor para su caso de uso, puede enviar el tráfico de los recursos al Servicio de AWS  utilizando la interfaz de red de punto de conexión de la misma zona de disponibilidad. Para ello, utilice el punto de conexión de zona privado o la dirección IP de la interfaz de red de punto de conexión.

Un VPC punto de enlace de interfaz con tráfico que utiliza los puntos de enlace zonales privados.

Tipos de direcciones IP

Servicios de AWS pueden brindar soporte IPv6 a través de sus puntos de conexión privados, incluso si no lo hacen IPv6 a través de sus puntos de conexión públicos. Los puntos finales compatibles IPv6 pueden responder a las DNS consultas con registros. AAAA

Requisitos IPv6 para habilitar un punto final de interfaz

  • Servicio de AWS Debe hacer que sus puntos finales de servicio estén disponibles en. IPv6 Para obtener más información, consulte Ver IPv6 soporte.

  • El tipo de dirección IP de un punto de conexión de interfaz debe ser compatible con las subredes del punto de conexión de interfaz, como se describe a continuación:

    • IPv4— Asigne IPv4 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de IPv4 direcciones.

    • IPv6— Asigne IPv6 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas son IPv6 solo subredes.

    • Dualstack: IPv4 asigne ambas IPv6 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen ambos IPv4 rangos de direcciones. IPv6

Si un VPC punto final de la interfaz IPv4 lo admite, las interfaces de red del punto final tienen IPv4 direcciones. Si un VPC punto final de la interfaz IPv6 lo admite, las interfaces de red del punto final tienen IPv6 direcciones. No se puede acceder a la IPv6 dirección de la interfaz de red de un punto final desde Internet. Si describe una interfaz de red de punto final con una IPv6 dirección, observe que denyAllIgwTraffic está habilitada.