Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS PrivateLink concepts
Vous pouvez utiliser Amazon VPC pour définir un cloud privé virtuel (VPC, Virtual Private Cloud), qui est un réseau virtuel logiquement isolé. Vous pouvez lancer AWS des ressources dans votre VPC. Vous pouvez autoriser les ressources de votre VPC à se connecter à des ressources extérieures à ce VPC. Par exemple, ajoutez une passerelle Internet au VPC pour permettre l'accès à Internet, ou ajoutez une connexion VPN pour permettre l'accès à votre réseau sur site. Vous pouvez également utiliser AWS PrivateLink cette option pour autoriser les ressources de votre VPC à se connecter aux services d'autres VPC à l'aide d'adresses IP privées, comme si ces services étaient hébergés directement dans votre VPC.
Les concepts suivants sont importants à comprendre lorsque vous commencez à utiliser AWS PrivateLink.
Table des matières
Diagramme d'architecture
Le schéma suivant fournit une vue d'ensemble détaillée du AWS PrivateLink fonctionnement. Les consommateurs du service créent des points de terminaison d’un VPC d'interface pour se connecter aux services de point de terminaison qui sont hébergés par les fournisseurs du service.
Fournisseurs du service
Le propriétaire d'un service est le fournisseur du service. Les fournisseurs de services incluent AWS AWS les partenaires et autres Comptes AWS. Les fournisseurs de services peuvent héberger leurs services à l'aide de AWS ressources, telles que des instances EC2, ou à l'aide de serveurs sur site.
Services de point de terminaison
Le fournisseur du service crée un service de point de terminaison pour rendre son service disponible dans une Région. Le fournisseur du service doit spécifier un équilibreur de charge lorsqu'il crée un service de point de terminaison. L'équilibreur de charge reçoit des requêtes des consommateurs du service et les achemine vers votre service.
Par défaut, votre service de point de terminaison n'est pas disponible pour les consommateurs du service. Vous devez ajouter des autorisations permettant à des entités spécifiques de AWS se connecter à votre service de point de terminaison.
Noms de service
Chaque service de point de terminaison est identifié par un nom de service. Le consommateur du service doit spécifier le nom du service lors de la création d'un point de terminaison d’un VPC. Les consommateurs de services peuvent demander les noms des services pour Services AWS. Les fournisseurs du service doivent communiquer le nom de leurs services aux consommateurs du service.
États de service
Les états possibles pour un service de point de terminaison sont les suivants :
-
Pending
– Le service de point de terminaison est en cours de création. -
Available
– Le service de point de terminaison est disponible. -
Failed
– Le service de point de terminaison n'a pas pu être créé. -
Deleting
– Le fournisseur du service a supprimé le service de point de terminaison et la suppression est en cours. -
Deleted
– Le service de point de terminaison est supprimé.
Consommateurs du service
L'utilisateur d'un service est un consommateur du service. Les consommateurs de services peuvent accéder aux services des terminaux depuis AWS des ressources, telles que des instances EC2, ou depuis des serveurs sur site.
Concepts
Points de terminaison d’un VPC
Le consommateur du services crée un point de terminaison d’un VPC pour connecter son VPC à un service de point de terminaison. Le consommateur du service doit spécifier le nom du service de point de terminaison lors de la création d'un point de terminaison d’un VPC. Il existe plusieurs types de points de terminaison d’un VPC. Vous devez créer le type de point de terminaison d’un VPC requis par le service de point de terminaison.
-
Interface
: créez un point de terminaison d'interface pour envoyer le trafic TCP à un service de point de terminaison. Le trafic destiné au service de point de terminaison est résolu à l'aide du DNS. -
GatewayLoadBalancer
– Créer un Point de terminaison d'équilibreur de charge de passerelle pour envoyer le trafic vers une flotte de dispositifs virtuels en utilisant des adresses IP privées. Vous acheminez le trafic de votre VPC vers le point de terminaison d'équilibreur de charge de passerelle à l'aide de tables de routage. L'équilibreur de charge de passerelle distribue le trafic vers les dispositifs virtuels et peut s'adapter à la demande.
Il existe un autre type de point de terminaison d'un VPC, Gateway
, qui crée un point de terminaison de passerelle pour envoyer le trafic vers Amazon S3 ou DynamoDB. Les points de terminaison de passerelle ne sont pas utilisés AWS PrivateLink, contrairement aux autres types de points de terminaison VPC. Pour plus d’informations, consultez Points de terminaison de passerelle.
Interfaces réseau de point de terminaison
L'interface réseau de point de terminaison est une interface réseau gérée par le demandeur qui sert de point d'entrée pour le trafic destiné à un service de point de terminaison. Pour chaque sous-réseau que vous spécifiez lorsque vous créez un point de terminaison de VPC, nous créons une interface réseau de point de terminaison dans le sous-réseau.
Si le point de terminaison d’un VPC prend en charge le protocole IPv4, ses interfaces réseau du point de terminaison possèdent des adresses IPv4. Si le point de terminaison d’un VPC prend en charge le protocole IPv6, ses interfaces réseau du point de terminaison possèdent des adresses IPv6. L'adresse IPv6 d'une interface réseau de point de terminaison est inaccessible depuis Internet. Lorsque vous décrivez une interface réseau de point de terminaison avec une adresse IPv6, notez que denyAllIgwTraffic
est activé.
Les adresses IP d'une interface réseau de point de terminaison ne changeront pas pendant la durée de vie de son point de terminaison d'un VPC.
Politiques de point de terminaison
La politique de point de terminaison de VPC est une politique de ressources IAM qui est jointe à un point de terminaison d’un VPC. Elle détermine quels principaux peuvent utiliser le point de terminaison d’un VPC pour accéder au service de point de terminaison. La politique par défaut de point de terminaison d’un VPC autorise toutes les actions de tous les principaux sur toutes les ressources via le point de terminaison d’un VPC.
États de point de terminaison
Quand vous créez un point de terminaison d’un VPC, le service de point de terminaison reçoit une demande de connexion. Le fournisseur du service peut accepter ou refuser la demande. Si le fournisseur du service accepte la demande, le consommateur du service peut utiliser le point de terminaison d’un VPC après que ce dernier soit passé à l'état Available
.
Les états possibles pour un point de terminaison d’un VPC sont les suivants :
-
PendingAcceptance
– La demande de connexion est en attente. Il s'agit de l'état initial si les demandes sont acceptées manuellement. -
Pending
– Le fournisseur du service a accepté la demande de connexion. Il s'agit de l'état initial si les demandes sont acceptées automatiquement. Le point de terminaison d'un VPC revient à cet état si le consommateur du service modifie le point de terminaison d'un VPC. -
Available
– Le point de terminaison d’un VPC est disponible pour utilisation. -
Rejected
– Le fournisseur du service a refusé la demande de connexion. Le fournisseur du service peut également refuser une connexion lorsqu'elle est disponible pour utilisation. -
Expired
– La demande de connexion a expiré. -
Failed
– Le point de terminaison d’un VPC n'a pas pu être rendu disponible. -
Deleting
– Le consommateur du service a supprimé le point de terminaison d’un VPC et la suppression est en cours. -
Deleted
– Le point de terminaison d’un VPC est supprimé.
AWS PrivateLink connexions
Le trafic provenant de votre VPC est envoyé à un service de point de terminaison via une connexion entre le point de terminaison d’un VPC et le service de point de terminaison. Le trafic entre un point de terminaison VPC et un service de point de terminaison reste au sein du AWS réseau, sans passer par l'Internet public.
Un fournisseur de services ajoute des autorisations afin que les consommateurs puissent accéder au service de point de terminaison. Les consommateurs de services initient la connexion et le fournisseur de services accepte ou rejette les demandes de connexion.
Avec un point de terminaison d’un VPC, les utilisateurs peuvent utiliser des politiques de point de terminaison pour contrôler quels principaux IAM peuvent utiliser le point de terminaison d'un VPC pour accéder au service de point de terminaison.
Zones hébergées privées
La zone hébergée est un conteneur pour les enregistrements DNS qui définissent comment acheminer le trafic pour un domaine ou un sous-domaine. Avec une zone hébergée publique, les enregistrements précisent comment acheminer le trafic sur Internet. Avec une zone hébergée privée, les enregistrements précisent comment acheminer le trafic dans vos VPC.
Vous pouvez configurer Amazon Route 53 pour acheminer le trafic du domaine vers un point de terminaison de VPC. Pour plus d'informations, voir Acheminement du trafic vers un point de terminaison de VPC en utilisant votre nom de domaine.
Vous pouvez utiliser Route 53 pour configurer le DNS à horizon partagé, dans lequel vous utilisez le même nom de domaine pour un site Web public et un service de point de terminaison alimenté par. AWS PrivateLink Les requêtes DNS pour le nom d'hôte public provenant du VPC du consommateur sont résolues en adresses IP privées des interfaces réseau de point de terminaison, mais les requêtes provenant de l'extérieur du VPC continuent à être résolues en points de terminaison publics. Pour plus d'informations, voir Mécanismes DNS pour l'acheminement du trafic et l'activation du basculement pour les déploiements AWS PrivateLink