Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS PrivateLink konsep
Anda dapat menggunakan Amazon VPC untuk mendefinisikan virtual private cloud (VPC), yang merupakan jaringan virtual yang terisolasi secara logis. Anda dapat meluncurkan AWS sumber daya di VPC Anda. Anda dapat mengizinkan sumber daya di VPC Anda terhubung ke sumber daya di luar VPC itu. Misalnya, tambahkan gateway internet ke VPC untuk mengizinkan akses ke internet, atau tambahkan koneksi VPN untuk memungkinkan akses ke jaringan lokal Anda. Atau, gunakan AWS PrivateLink untuk memungkinkan sumber daya di VPC Anda terhubung ke layanan di VPC lain menggunakan alamat IP pribadi, seolah-olah layanan tersebut di-host langsung di VPC Anda.
Berikut ini adalah konsep penting untuk dipahami saat Anda mulai menggunakan AWS PrivateLink.
Daftar Isi
Diagram arsitektur
Diagram berikut memberikan gambaran tingkat tinggi tentang cara AWS PrivateLink kerja. Konsumen layanan membuat titik akhir VPC antarmuka untuk terhubung ke layanan endpoint yang di-host oleh penyedia layanan.
Penyedia layanan
Pemilik layanan adalah penyedia layanan. Penyedia layanan termasuk AWS, AWS Mitra, dan lainnya Akun AWS. Penyedia layanan dapat meng-host layanan mereka menggunakan AWS sumber daya, seperti instans EC2, atau menggunakan server lokal.
Layanan titik akhir
Penyedia layanan membuat layanan endpoint untuk membuat layanan mereka tersedia di suatu Wilayah. Penyedia layanan harus menentukan penyeimbang beban saat membuat layanan endpoint. Penyeimbang beban menerima permintaan dari konsumen layanan dan mengarahkan mereka ke layanan Anda.
Secara default, layanan endpoint Anda tidak tersedia untuk konsumen layanan. Anda harus menambahkan izin yang memungkinkan AWS prinsipal tertentu untuk terhubung ke layanan endpoint Anda.
Nama layanan
Setiap layanan endpoint diidentifikasi dengan nama layanan. Konsumen layanan harus menentukan nama layanan saat membuat titik akhir VPC. Konsumen layanan dapat menanyakan nama layanan untuk Layanan AWS. Penyedia layanan harus membagikan nama layanan mereka dengan konsumen layanan.
Status layanan
Berikut ini adalah status yang mungkin untuk layanan endpoint:
-
Pending
- Layanan endpoint sedang dibuat. -
Available
- Layanan endpoint tersedia. -
Failed
- Layanan endpoint tidak dapat dibuat. -
Deleting
- Penyedia layanan menghapus layanan endpoint dan penghapusan sedang berlangsung. -
Deleted
- Layanan endpoint dihapus.
Konsumen layanan
Pengguna suatu layanan adalah konsumen layanan. Konsumen layanan dapat mengakses layanan endpoint dari AWS sumber daya, seperti instans EC2, atau dari server lokal.
Titik akhir VPC
Konsumen layanan membuat titik akhir VPC untuk menghubungkan VPC mereka ke layanan endpoint. Konsumen layanan harus menentukan nama layanan layanan titik akhir saat membuat titik akhir VPC. Ada beberapa jenis titik akhir VPC. Anda harus membuat jenis titik akhir VPC yang diperlukan oleh layanan endpoint.
-
Interface
- Buat titik akhir antarmuka untuk mengirim lalu lintas TCP ke layanan endpoint. Lalu lintas yang ditujukan untuk layanan titik akhir diselesaikan menggunakan DNS. -
GatewayLoadBalancer
- Buat titik akhir Load Balancer Gateway untuk mengirim lalu lintas ke armada peralatan virtual menggunakan alamat IP pribadi. Anda merutekan lalu lintas dari VPC ke titik akhir Load Balancer Gateway menggunakan tabel rute. Load Balancer Gateway mendistribusikan lalu lintas ke peralatan virtual dan dapat menskalakan sesuai permintaan.
Ada jenis lain dari titik akhir VPCGateway
, yang menciptakan titik akhir gateway untuk mengirim lalu lintas ke Amazon S3 atau DynamoDB. Titik akhir Gateway tidak digunakan AWS PrivateLink, tidak seperti jenis titik akhir VPC lainnya. Untuk informasi selengkapnya, lihat Titik akhir Gateway.
Antarmuka jaringan titik akhir
Antarmuka jaringan endpoint adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan ke layanan endpoint. Untuk setiap subnet yang Anda tentukan saat Anda membuat titik akhir VPC, kami membuat antarmuka jaringan endpoint di subnet.
Jika titik akhir VPC mendukung IPv4, antarmuka jaringan titik akhir memiliki alamat IPv4. Jika titik akhir VPC mendukung IPv6, antarmuka jaringan endpoint-nya memiliki alamat IPv6. Alamat IPv6 untuk antarmuka jaringan endpoint tidak dapat dijangkau dari internet. Saat Anda mendeskripsikan antarmuka jaringan titik akhir dengan alamat IPv6, perhatikan bahwa itu denyAllIgwTraffic
diaktifkan.
Alamat IP dari antarmuka jaringan endpoint tidak akan berubah selama masa pakai titik akhir VPC-nya.
Kebijakan titik akhir
Kebijakan titik akhir VPC adalah kebijakan sumber daya IAM yang Anda lampirkan ke titik akhir VPC. Ini menentukan prinsip mana yang dapat menggunakan titik akhir VPC untuk mengakses layanan titik akhir. Kebijakan titik akhir VPC default memungkinkan semua tindakan oleh semua prinsipal pada semua sumber daya melalui titik akhir VPC.
Status titik akhir
Saat Anda membuat titik akhir VPC, layanan titik akhir menerima permintaan koneksi. Penyedia layanan dapat menerima atau menolak permintaan tersebut. Jika penyedia layanan menerima permintaan, konsumen layanan dapat menggunakan titik akhir VPC setelah memasuki status. Available
Berikut ini adalah status yang mungkin untuk titik akhir VPC:
-
PendingAcceptance
- Permintaan koneksi tertunda. Ini adalah status awal jika permintaan diterima secara manual. -
Pending
- Penyedia layanan menerima permintaan koneksi. Ini adalah status awal jika permintaan diterima secara otomatis. Titik akhir VPC kembali ke status ini jika konsumen layanan memodifikasi titik akhir VPC. -
Available
- Titik akhir VPC tersedia untuk digunakan. -
Rejected
- Penyedia layanan menolak permintaan koneksi. Penyedia layanan juga dapat menolak koneksi setelah tersedia untuk digunakan. -
Expired
- Permintaan koneksi kedaluwarsa. -
Failed
- Titik akhir VPC tidak dapat dibuat tersedia. -
Deleting
- Konsumen layanan menghapus titik akhir VPC dan penghapusan sedang berlangsung. -
Deleted
- Titik akhir VPC dihapus.
AWS PrivateLink koneksi
Lalu lintas dari VPC Anda dikirim ke layanan endpoint menggunakan koneksi antara titik akhir VPC dan layanan endpoint. Lalu lintas antara titik akhir VPC dan layanan endpoint tetap berada dalam AWS jaringan, tanpa melintasi internet publik.
Penyedia layanan menambahkan izin sehingga konsumen layanan dapat mengakses layanan endpoint. Konsumen layanan memulai koneksi dan penyedia layanan menerima atau menolak permintaan koneksi.
Dengan titik akhir VPC antarmuka, konsumen layanan dapat menggunakan kebijakan titik akhir untuk mengontrol prinsip IAM mana yang dapat menggunakan titik akhir VPC untuk mengakses layanan titik akhir.
Zona host pribadi
Zona yang dihosting adalah wadah untuk catatan DNS yang menentukan cara merutekan lalu lintas untuk domain atau subdomain. Dengan zona yang dihosting publik, catatan menentukan cara merutekan lalu lintas di internet. Dengan zona host pribadi, catatan menentukan cara merutekan lalu lintas di VPC Anda.
Anda dapat mengonfigurasi Amazon Route 53 untuk merutekan lalu lintas domain ke titik akhir VPC. Untuk informasi selengkapnya, lihat Merutekan lalu lintas ke titik akhir VPC menggunakan nama domain Anda.
Anda dapat menggunakan Route 53 untuk mengonfigurasi DNS split-horizon, di mana Anda menggunakan nama domain yang sama untuk situs web publik dan layanan endpoint yang didukung oleh. AWS PrivateLink Permintaan DNS untuk nama host publik dari VPC konsumen diselesaikan ke alamat IP pribadi dari antarmuka jaringan titik akhir, tetapi permintaan dari luar VPC terus diselesaikan ke titik akhir publik. Untuk informasi selengkapnya, lihat Mekanisme DNS untuk Lalu Lintas Perutean dan Mengaktifkan Failover