Considérations Prérequis Création d'un service de point de terminaison Mettre le service de point de terminaison à la disposition des consommateurs du service Connexion à un service de point de terminaison en tant que consommateur du service

Créez un service propulsé par AWS PrivateLink

Vous pouvez créer votre propre service alimenté par AWS PrivateLink, connu sous le nom de service de point de terminaison. Vous êtes le fournisseur du service et les principaux AWS qui créent des connexions à votre service sont les consommateurs du service.

Les services de point de terminaison nécessitent un Network Load Balancer (équilibreur de charge de réseau) ou un Gateway Load Balancer (équilibreur de charge de passerelle). L'équilibreur de charge reçoit des requêtes des consommateurs du service et les achemine vers votre service. Dans ce cas, vous allez créer un service de point de terminaison à l'aide d'un équilibreur de charge réseau Network Load Balancer. Pour plus d'informations sur la création d'un service de point de terminaison à l'aide d'un équilibreur de charge de passerelle Gateway Load Balancer, voir Accès à des dispositifs virtuels.

Table des matières

Considérations
Prérequis
Création d'un service de point de terminaison
Mettre le service de point de terminaison à la disposition des consommateurs du service
Connexion à un service de point de terminaison en tant que consommateur du service

Considérations

Le service de point de terminaison n'est disponible que dans la Région où vous l'avez créé. Les consommateurs peuvent accéder à votre service depuis d'autres régions si vous activez l'accès interrégional, ou s'ils utilisent le VPC peering ou une passerelle de transit.
Lorsque les consommateurs du service extraient des informations sur un service de point de terminaison, ils ne peuvent voir que les zones de disponibilité qu'ils ont en commun avec le fournisseur du service. Lorsque le fournisseur du service et le consommateur du service se trouvent dans des comptes différents, un nom de zone de disponibilité, tel que us-east-1a, peut être mappé à une zone de disponibilité physique différente dans chaque Compte AWS. Vous pouvez utiliser AZ IDs pour identifier de manière cohérente les zones de disponibilité de votre service. Pour plus d'informations, consultez AZ IDs dans le guide de EC2 l'utilisateur Amazon.
Lorsque les consommateurs du service envoient du trafic vers un service via un point de terminaison d'interface, les adresses IP sources fournies à l'application sont les adresses IP privées des nœuds de l'équilibreur de charge, et non les adresses IP des consommateurs du service. Si vous activez le protocole proxy sur l'équilibreur de charge, vous pouvez obtenir les adresses des consommateurs de services et les points de terminaison IDs de l'interface à partir de l'en-tête du protocole proxy. Pour de plus amples informations, veuillez consulter le protocole proxy dans le Guide de l'utilisateur des Network Load Balancers.
Un Network Load Balancer peut être associé à un seul service de point de terminaison, mais un service de point de terminaison peut être associé à plusieurs Network Load Balancers.
Si un service de point de terminaison est associé à plusieurs Network Load Balancers, chaque interface réseau de point de terminaison à un équilibreur de charge. Lorsque la première connexion à partir d'une interface réseau de point de terminaison est lancée, nous sélectionnons au hasard l'un des Network Load Balancers situés dans la même zone de disponibilité que l'interface réseau du point de terminaison. Toutes les demandes de connexion suivantes à partir de cette interface réseau de point de terminaison utilisent l'équilibreur de charge sélectionné. Nous vous recommandons d'utiliser la même configuration d'écouteur et de groupe cible pour tous les équilibreurs de charge d'un service de point de terminaison, afin que les utilisateurs puissent le service quel que soit l'équilibreur de charge choisi.
Vos AWS PrivateLink ressources sont soumises à des quotas. Pour de plus amples informations, veuillez consulter AWS PrivateLink quotas.

Prérequis

Créez un service VPC pour votre terminal avec au moins un sous-réseau dans chaque zone de disponibilité dans laquelle le service doit être disponible.
Pour permettre aux consommateurs de services de créer des VPC points de terminaison d'IPv6interface pour votre service de point de terminaison, les sous-réseaux VPC et doivent être associés à IPv6 CIDR des blocs.
Créez un Network Load Balancer dans votre. VPC Sélectionnez un sous-réseau par zone de disponibilité dans lequel le service doit être disponible pour les consommateurs. Pour une faible latence et tolérance aux pannes, nous vous recommandons de rendre votre service disponible dans toutes les zones de disponibilité de la région.
Si votre Network Load Balancer possède un groupe de sécurité, il doit autoriser le trafic entrant provenant des adresses IP des clients. Vous pouvez également désactiver l'évaluation des règles des groupes de sécurité entrants pour le trafic entrant. AWS PrivateLink Pour plus d'informations, consultez la section Groupes de sécurité dans le Guide de l'utilisateur pour les équilibreurs de charge réseau.
Pour permettre à votre service de point de terminaison d'accepter les IPv6 demandes, ses équilibreurs de charge réseau doivent utiliser le type d'adresse IP à double pile. Les cibles n'ont pas besoin de prendre en charge IPv6 le trafic. Pour plus d'informations, consultez la section Type d'adresse IP du Guide de l'utilisateur des équilibreurs de charge de réseau Network Load Balancer.

Si vous traitez des adresses IP sources à partir de l'en-tête du protocole proxy version 2, vérifiez que vous pouvez traiter IPv6 les adresses.
Lancez des instances dans chaque zone de disponibilité dans laquelle le service doit être disponible et enregistrez-les dans un groupe cible d'équilibreurs de charge. Si vous ne lancez pas d'instances dans toutes les zones de disponibilité activées, vous pouvez activer l'équilibrage de charge entre zones pour aider les utilisateurs du service qui utilisent des DNS noms d'hôte zonaux pour accéder au service. Des frais de transfert régional de données s'appliquent lorsque vous activez l'équilibrage de charge entre zones. Pour plus d'informations, consultez la section Équilibrage de charge entre zones dans le Guide de l'utilisateur pour les équilibreurs de charge réseau.

Création d'un service de point de terminaison

Utilisez la procédure suivante pour créer un service de point de terminaison à l'aide d'un équilibreur de charge de réseau Network Load Balancer.

Pour créer un service de point de terminaison à l'aide de la console

Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.
Dans le volet de navigation, choisissez Endpoint Services (Services de point de terminaison).
Choisissez Create endpoint service (Créer un service de point de terminaison).
Pour Load balancer type (Type d'équilibreur de charge), choisissez Network (Réseau).
Pour Équilibreurs de charge disponibles, sélectionnez les Network Load Balancers à associer au service du point de terminaison. Pour voir les zones de disponibilité activées pour l'équilibreur de charge que vous avez sélectionné, voir Détails des équilibreurs de charge sélectionnés, Zones de disponibilité incluses. Votre service de point de terminaison sera disponible dans ces zones de disponibilité.
(Facultatif) Pour rendre votre service de point de terminaison disponible depuis des régions autres que la région où il est hébergé, sélectionnez les régions dans les régions de service. Pour de plus amples informations, veuillez consulter Accès interrégional.
Dans la section Require acceptance for endpoint (Acceptation requise pour le point de terminaison), sélectionnez Acceptance required (Acceptation requise) pour exiger que les demandes de connexion à votre service de point de terminaison soient acceptées manuellement. Sinon, ces requêtes sont acceptées automatiquement.
Pour Activer le DNS nom privé, sélectionnez Associer un DNS nom privé au service pour associer un DNS nom privé que les clients du service peuvent utiliser pour accéder à votre service, puis entrez le DNS nom privé. Dans le cas contraire, les consommateurs de services peuvent utiliser le DNS nom spécifique au point de terminaison fourni par. AWS Avant que les consommateurs de services puissent utiliser le DNS nom privé, le fournisseur de services doit vérifier qu'ils sont propriétaires du domaine. Pour de plus amples informations, veuillez consulter Gérer les DNS noms.
Pour Supported IP address types (Types d'adresse IP pris en charge), effectuez l'une des opérations suivantes :
- Sélectionner IPv4— Activez le service de point de terminaison pour qu'il accepte les IPv4 demandes.
- Sélectionner IPv6— Activez le service de point de terminaison pour qu'il accepte les IPv6 demandes.
- Sélectionnez IPv4et IPv6— Activez le service de point de terminaison pour qu'il accepte à la fois les IPv6 demandes IPv4 et.
(Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l'identification.
Sélectionnez Create (Créer).

Pour créer un service de point de terminaison à l'aide de la ligne de commande

create-vpc-endpoint-service-configuration ()AWS CLI
New-EC2VpcEndpointServiceConfiguration(Outils pour Windows PowerShell)

AWS les principaux peuvent se connecter à votre service de point de terminaison en privé en créant un point de VPC terminaison d'interface. Les fournisseurs du service doivent faire ce qui suit pour mettre leurs services à la disposition des consommateurs du service.

Ajoutez des autorisations qui permettent à chaque utilisateur de se connecter à votre service de point de terminaison. Pour de plus amples informations, veuillez consulter Gestion des autorisations.
Fournissez au consommateur du service le nom de votre service et les zones de disponibilité prises en charge afin qu'il puisse créer un point de terminaison d'interface pour se connecter à votre service. Pour de plus amples informations, veuillez consulter Connexion à un service de point de terminaison en tant que consommateur du service.
Acceptez la demande de connexion au point de terminaison de la part du consommateur du service. Pour de plus amples informations, veuillez consulter Acceptation ou refus des demandes de connexion.

Connexion à un service de point de terminaison en tant que consommateur du service

Un consommateur du service utilise la procédure suivante pour créer un point de terminaison d'interface afin de se connecter à votre service de terminaison.

Pour créer un point de terminaison d'interface à l'aide de la console

Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.
Dans le panneau de navigation, choisissez Points de terminaison.
Choisissez Créer un point de terminaison.
Pour Type, choisissez les services Endpoint qui utilisent NLBs et GWLBs.
Dans Nom du service, entrez le nom du service (par exemple,com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc), puis choisissez Vérifier le service.
(Facultatif) Pour vous connecter à un service de point de terminaison disponible dans une région autre que la région du point de terminaison, sélectionnez Région de service, Activer le point de terminaison interrégional, puis sélectionnez la région. Pour de plus amples informations, veuillez consulter Accès interrégional.
Pour VPC, sélectionnez celui VPC à partir duquel vous allez accéder au service de point de terminaison.
Pour les sous-réseaux, sélectionnez les sous-réseaux dans lesquels vous souhaitez créer les interfaces réseau des points de terminaison.
Pour IP address type (Type d'adresse IP), choisissez l'une des options suivantes :
- IPv4— Attribuez IPv4 des adresses aux interfaces réseau des terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés ont des plages d'IPv4adresses et si le service de point de terminaison accepte les IPv4 demandes.
- IPv6— Attribuez IPv6 des adresses aux interfaces réseau des terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés IPv6 ne sont que des sous-réseaux et que le service de point de terminaison accepte IPv6 les demandes.
- Dualstack — Attribuez à la fois des IPv6 adresses IPv4 et des adresses aux interfaces réseau des terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent à la fois des plages d'IPv6adresses IPv4 et si le service de point de terminaison accepte à la fois les IPv6 demandes IPv4 et les demandes.
Pour le type d'IP d'DNSenregistrement, choisissez l'une des options suivantes :
- IPv4— Créez des enregistrements A pour les DNS noms privés, régionaux et zonaux. Le type d'adresse IP doit être IPv4ou Dualstack.
- IPv6— Créez AAAA des enregistrements pour les DNS noms privés, régionaux et zonaux. Le type d'adresse IP doit être IPv6ou Dualstack.
- Dualstack — Créez A et AAAA enregistrez les noms privés, régionaux et DNS zonaux. Le type d'adresse IP doit être Dualstack.
- Service défini — Créez des enregistrements A pour les noms privés, régionaux et zonaux et DNS des AAAA enregistrements pour les noms régionaux et zonauxDNS. Le type d'adresse IP doit être Dualstack.
Pour Groupe de sécurité, sélectionnez les groupes de sécurité à associer aux interfaces réseau du point de terminaison.
Choisissez Créer un point de terminaison.

Pour créer un point de terminaison d'interface à l'aide de la ligne de commande

create-vpc-endpoint (AWS CLI)
New-EC2VpcEndpoint(Outils pour Windows PowerShell)

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Partage des services

Configuration d'un service de point de terminaison