Titik akhir Gateway - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Titik akhir Gateway

Titik akhir VPC Gateway menyediakan konektivitas yang andal ke Amazon S3 dan DynamoDB tanpa memerlukan gateway internet atau perangkat NAT untuk VPC Anda. Titik akhir Gateway tidak digunakan AWS PrivateLink, tidak seperti jenis titik akhir VPC lainnya.

Amazon S3 dan DynamoDB mendukung titik akhir gateway dan titik akhir antarmuka. Untuk perbandingan opsi, lihat berikut ini:

Harga

Tidak dikenakan biaya tambahan untuk menggunakan titik akhir gateway.

Gambaran Umum

Anda dapat mengakses Amazon S3 dan DynamoDB melalui titik akhir layanan publik mereka atau melalui titik akhir gateway. Ikhtisar ini membandingkan metode ini.

Akses melalui gateway internet

Diagram berikut menunjukkan cara instans mengakses Amazon S3 dan DynamoDB melalui titik akhir layanan publiknya. Lalu lintas ke Amazon S3 atau DynamoDB dari instance di subnet publik dirutekan ke gateway internet untuk VPC dan kemudian ke layanan. Instans di subnet pribadi tidak dapat mengirim lalu lintas ke Amazon S3 atau DynamoDB, karena menurut definisi subnet pribadi tidak memiliki rute ke gateway internet. Untuk mengaktifkan instance di subnet pribadi untuk mengirim lalu lintas ke Amazon S3 atau DynamoDB, Anda akan menambahkan perangkat NAT ke subnet publik dan merutekan lalu lintas di subnet pribadi ke perangkat NAT. Sementara lalu lintas ke Amazon S3 atau DynamoDB melintasi gateway internet, itu tidak meninggalkan jaringan. AWS

Lalu lintas meninggalkan VPC Anda melalui gateway internet, tetapi tetap berada di AWS jaringan.
Akses melalui titik akhir gateway

Diagram berikut menunjukkan cara instance mengakses Amazon S3 dan DynamoDB melalui titik akhir gateway. Lalu lintas dari VPC Anda ke Amazon S3 atau DynamoDB dirutekan ke titik akhir gateway. Setiap tabel rute subnet harus memiliki rute yang mengirimkan lalu lintas yang ditujukan untuk layanan ke titik akhir gateway menggunakan daftar awalan untuk layanan. Untuk informasi selengkapnya, lihat daftar awalan AWS-terkelola di Panduan Pengguna Amazon VPC.

Lalu lintas dari VPC Anda diarahkan ke titik akhir gateway.

Perutean

Saat Anda membuat titik akhir gateway, Anda memilih tabel rute VPC untuk subnet yang Anda aktifkan. Rute berikut secara otomatis ditambahkan ke setiap tabel rute yang Anda pilih. Tujuan adalah daftar awalan untuk layanan yang dimiliki oleh AWS dan targetnya adalah titik akhir gateway.

Tujuan Target
prefix_list_id gateway_endpoint_id
Pertimbangan
  • Anda dapat meninjau rute titik akhir yang kami tambahkan ke tabel rute Anda, tetapi Anda tidak dapat memodifikasi atau menghapusnya. Untuk menambahkan rute titik akhir ke tabel rute, kaitkan dengan titik akhir gateway. Kami menghapus rute titik akhir saat Anda memisahkan tabel rute dari titik akhir gateway atau saat Anda menghapus titik akhir gateway.

  • Semua instance dalam subnet yang terkait dengan tabel rute yang terkait dengan titik akhir gateway secara otomatis menggunakan titik akhir gateway untuk mengakses layanan. Instance dalam subnet yang tidak terkait dengan tabel rute ini menggunakan titik akhir layanan publik, bukan titik akhir gateway.

  • Tabel rute dapat memiliki rute titik akhir ke Amazon S3 dan rute titik akhir ke DynamoDB. Anda dapat memiliki rute titik akhir ke layanan yang sama (Amazon S3 atau DynamoDB) di beberapa tabel rute. Anda tidak dapat memiliki beberapa rute titik akhir ke layanan yang sama (Amazon S3 atau DynamoDB) dalam satu tabel rute.

  • Kami menggunakan rute paling spesifik yang cocok dengan lalu lintas untuk menentukan cara merutekan lalu lintas (kecocokan awalan terpanjang). Untuk tabel rute dengan rute titik akhir, ini berarti sebagai berikut:

    • Jika ada rute yang mengirimkan semua lalu lintas internet (0.0.0.0/0) ke gateway internet, rute titik akhir diutamakan untuk lalu lintas yang ditujukan untuk layanan (Amazon S3 atau DynamoDB) di Wilayah saat ini. Lalu lintas yang ditujukan untuk yang berbeda Layanan AWS menggunakan gateway internet.

    • Lalu lintas yang ditujukan untuk layanan (Amazon S3 atau DynamoDB) di Wilayah lain masuk ke gateway internet karena daftar awalan khusus untuk Wilayah.

    • Jika ada rute yang menentukan rentang alamat IP yang tepat untuk layanan (Amazon S3 atau DynamoDB) di Wilayah yang sama, rute tersebut lebih diutamakan daripada rute titik akhir.

Keamanan

Saat instans Anda mengakses Amazon S3 atau DynamoDB melalui titik akhir gateway, instans mengakses layanan menggunakan titik akhir publiknya. Grup keamanan untuk contoh ini harus mengizinkan lalu lintas ke dan dari layanan. Berikut ini adalah contoh aturan outbound. Ini referensi ID dari daftar awalan untuk layanan.

Tujuan Protokol Rentang port
prefix_list_id TCP 443

Jaringan ACLs untuk subnet untuk contoh ini juga harus memungkinkan lalu lintas ke dan dari layanan. Berikut ini adalah contoh aturan outbound. Anda tidak dapat mereferensikan daftar awalan dalam aturan ACL jaringan, tetapi Anda bisa mendapatkan rentang alamat IP untuk layanan dari daftar awalannya.

Tujuan Protokol Rentang port
service_cidr_block_1 TCP 443
service_cidr_block_2 TCP 443
service_cidr_block_3 TCP 443