Comparta sus servicios a través de AWS PrivateLink - Amazon Virtual Private Cloud
Descripción generalNombre de host DNSDNS privadoAcceso entre regionesTipos de direcciones IP

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Comparta sus servicios a través de AWS PrivateLink

Puede alojar su propio servicio AWS PrivateLink avanzado, conocido como servicio de punto final, y compartirlo con otros AWS clientes.

Contenido

Descripción general

El siguiente diagrama muestra cómo compartes el servicio que está hospedado AWS con otros AWS clientes y cómo esos clientes se conectan a tu servicio. Como el proveedor del servicio, usted crea un equilibrador de carga de red en su VPC como el servicio frontend. Luego, selecciona este equilibrador de carga cuando crea la configuración del servicio de punto de conexión de VPC. Concede permisos a entidades principales específicas de AWS para que puedan conectarse al servicio. Como consumidor del servicio, el consumidor crea un punto de conexión de VPC de interfaz, que establece conexiones entre las subredes que selecciona de la VPC y el servicio de punto de conexión. El equilibrador de carga recibe solicitudes del consumidor del servicio y las dirige a los destinos que alojan el servicio.

Los consumidores de servicios se conectan a servicios de punto de conexión alojados por proveedores de servicios.

Para conseguir baja latencia y alta disponibilidad, se recomienda que el servicio esté disponible en al menos dos zonas de disponibilidad.

Nombre de host DNS

Cuando un proveedor de servicios crea un servicio de punto final de VPC, AWS genera un nombre de host DNS específico del punto final para el servicio. Estos nombres tienen la siguiente sintaxis:

endpoint_service_id.region.vpce.amazonaws.com

A continuación, se muestra un ejemplo de nombre de host de DNS para un servicio de punto de conexión de VPC en la región us-east-2:

vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com

Cuando un consumidor de servicios crea un punto de conexión de VPC de interfaz, creamos nombres de DNS regionales y de zona que el consumidor del servicio puede utilizar para comunicarse con el servicio de punto de conexión. Los nombres regionales tienen la siguiente sintaxis:

endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com

Los nombres de zona tienen la siguiente sintaxis:

endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com

DNS privado

El proveedor de un servicio también puede asociar un nombre de DNS privado a su servicio de punto de conexión, de modo que los consumidores del servicio puedan seguir accediendo al servicio con el nombre de DNS existente. Si un proveedor de servicios asocia un nombre DNS privado a su servicio de punto de conexión, los consumidores del servicio pueden habilitar nombres DNS privados para sus puntos de conexión de interfaz. Si un proveedor de servicios no habilita el DNS privado, es posible que los consumidores del servicio tengan que actualizar sus aplicaciones para utilizar el nombre DNS público del servicio de punto de conexión de VPC. Para obtener más información, consulte Administración de nombres de DNS.

Acceso entre regiones

Un proveedor de servicios puede alojar un servicio en una región y ponerlo a disposición en un conjunto de regiones compatibles. Un consumidor de servicios selecciona una región de servicio al crear un punto final.

Permisos

  • De forma predeterminada, las entidades de IAM no tienen permiso para hacer que un servicio de punto final esté disponible en varias regiones ni para acceder a un servicio de punto final en todas las regiones. Para conceder los permisos necesarios para el acceso entre regiones, un administrador de IAM puede crear políticas de IAM que permitan la acción únicamente con permisos. vpce:AllowMultiRegion

  • Para controlar las regiones que una entidad de IAM puede especificar como regiones compatibles al crear un servicio de punto final, utilice la clave de condición. ec2:VpceSupportedRegion

  • Para controlar las regiones que una entidad de IAM puede especificar como región de servicio al crear un punto final de VPC, utilice ec2:VpceServiceRegion la clave de condición.

Consideraciones

  • Un proveedor de servicios debe optar por una región optativa antes de añadirla como región compatible para un servicio de punto final.

  • Se debe poder acceder al servicio de puntos finales desde la región de acogida. No puedes eliminar la región anfitriona del conjunto de regiones compatibles. Para garantizar la redundancia, puede implementar su servicio de puntos finales en varias regiones y habilitar el acceso entre regiones para cada servicio de punto final.

  • El consumidor del servicio debe optar por una región de suscripción voluntaria antes de seleccionarla como región de servicio para un punto final. Siempre que sea posible, recomendamos que los consumidores de servicios accedan a un servicio mediante la conectividad intrarregional en lugar de la conectividad entre regiones. La conectividad intrarregional proporciona una latencia más baja y unos costes más bajos.

  • Si un proveedor de servicios elimina una región del conjunto de regiones compatibles, los consumidores de servicios no podrán seleccionar esa región como región de servicio al crear nuevos puntos de conexión. Tenga en cuenta que esto no afecta al acceso al servicio de terminales desde los puntos de conexión existentes que utilizan esta región como región de servicio.

  • Para una alta disponibilidad, tanto los proveedores como los consumidores deben usar al menos dos zonas de disponibilidad. Tenga en cuenta que el acceso entre regiones no requiere que los proveedores y los consumidores utilicen las mismas zonas de disponibilidad.

  • Con el acceso entre regiones, AWS PrivateLink gestiona la conmutación por error entre las zonas de disponibilidad. No gestiona la conmutación por error en todas las regiones.

  • Los AWS Marketplace servicios con un nombre DNS fácil de usar no admiten el acceso entre regiones.

  • Los balanceadores de carga de red con un valor personalizado configurado para el tiempo de espera de inactividad del TCP no admiten el acceso entre regiones.

  • La fragmentación UDP no admite el acceso entre regiones.

Tipos de direcciones IP

Los proveedores de servicios pueden poner sus terminales de servicio a disposición de los consumidores de servicios a través IPv4 de ellos o de ambas formas IPv4 IPv6, incluso si sus servidores de backend solo son compatibles. IPv6 IPv4 Si habilita el soporte de doble pila, los consumidores actuales pueden seguir utilizándolo para acceder IPv4 a su servicio y los nuevos consumidores pueden optar por utilizarlo IPv6 para acceder a su servicio.

Si una interfaz de punto final de VPC admite IPv4, las interfaces de red de puntos finales tienen IPv4 direcciones. Si una interfaz de punto final de VPC admite IPv6, las interfaces de red de puntos finales tienen IPv6 direcciones. No se puede acceder a la IPv6 dirección de una interfaz de red de punto final desde Internet. Si describe una interfaz de red de punto final con una IPv6 dirección, observe que denyAllIgwTraffic está habilitada.

Requisitos IPv6 para habilitar un servicio de punto final

  • La VPC y las subredes del servicio de punto final deben tener bloques CIDR asociados IPv6 .

  • Todos los equilibradores de carga de red del servicio de punto de conexión deben utilizar el tipo de dirección IP dualstack. No es necesario que los destinos admitan tráfico. IPv6 Si el servicio procesa las direcciones IP de origen del encabezado de la versión 2 del protocolo proxy, debe procesar IPv6 las direcciones.

Requisitos IPv6 para habilitar un punto final de interfaz

  • El servicio de punto final debe admitir IPv6 las solicitudes.

  • El tipo de dirección IP de un punto de conexión de interfaz debe ser compatible con las subredes del punto de conexión de interfaz, como se describe a continuación:

    • IPv4— Asigne IPv4 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de IPv4 direcciones.

    • IPv6— Asigne IPv6 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas son IPv6 solo subredes.

    • Dualstack: IPv4 asigne ambas IPv6 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen ambos IPv4 rangos de direcciones. IPv6

Tipo de dirección IP de registro DNS para un punto de conexión de interfaz

El tipo de dirección IP de registro DNS que admite un punto de conexión de interfaz determina los registros DNS que se crean. El tipo de dirección IP de registro DNS de un punto de conexión de interfaz debe ser compatible con el tipo de dirección IP del punto de conexión de interfaz, como se describe a continuación:

  • IPv4— Cree registros A para los nombres DNS privados, regionales y zonales. El tipo de dirección IP debe ser IPv4Dualstack.

  • IPv6— Cree registros AAAA para los nombres DNS privados, regionales y zonales. El tipo de dirección IP debe ser Dualstack IPv6.

  • Dualstack: se crean registros A y AAAA para los nombres de DNS privados, regionales y de zonas. El tipo de dirección IP debe ser Dualstack.