Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

AWS PrivateLink concetti

PDF
RSS
Modalità Focus
AWS PrivateLink concetti - Amazon Virtual Private Cloud
Diagramma architetturaleProviderConsumatori di servizi o risorseAWS PrivateLink connessioniZone ospitate private

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

È possibile utilizzare Amazon VPC per definire un cloud privato virtuale (VPC), ossia una rete virtuale isolata logicamente. Puoi consentire ai client del tuo VPC di connettersi a destinazioni esterne a quel VPC. Ad esempio, puoi aggiungere un gateway Internet al VPC per consentire l'accesso a Internet o aggiungere una connessione VPN per consentire l'accesso alla tua rete on-premise. In alternativa, AWS PrivateLink utilizzalo per consentire ai client del tuo VPC di connettersi a servizi e risorse in altri VPCs utilizzando indirizzi IP privati, come se tali servizi e risorse fossero ospitati direttamente nel tuo VPC.

Di seguito sono riportati alcuni concetti fondamentali da conoscere quando si inizia a utilizzare AWS PrivateLink.

Diagramma architetturale

Il diagramma seguente fornisce una panoramica di alto livello di come funziona. AWS PrivateLink I consumatori creano endpoint VPC per connettersi a servizi e risorse endpoint ospitati dai provider.

I consumatori di servizi creano endpoint VPC per connettersi ai servizi e alle risorse endpoint ospitati dai provider.

Provider

Comprendi i concetti relativi a un provider.

Fornitore di servizi

Il proprietario di un servizio è il provider di servizi. I fornitori di servizi includono AWS AWS partner e altri Account AWS. I provider di servizi possono ospitare i propri servizi utilizzando AWS risorse, ad esempio EC2 istanze, o utilizzando server locali.

Fornitore di risorse

Il proprietario di una risorsa, ad esempio un database o un' EC2 istanza Amazon, è il fornitore di risorse. I fornitori di risorse includono AWS servizi, AWS partner e altri AWS account. I fornitori di risorse possono ospitare le proprie risorse in sede VPCs o in locale.

Servizi endpoint

Un provider di servizi crea un servizio endpoint per rendere disponibile un determinato servizio in una regione. Durante la creazione di un servizio endpoint, il provider di servizi deve specificare un load balancer. Il load balancer riceve le richieste dagli utenti del servizio e le instrada al servizio.

Per impostazione predefinita, il servizio endpoint non è disponibile per gli utenti del servizio. È necessario aggiungere autorizzazioni che consentano a AWS destinatari specifici di connettersi al servizio endpoint.

Nomi dei servizi

Ogni servizio endpoint è identificato da un nome del servizio. Un utente del servizio deve specificare tale nome durante la creazione di un endpoint VPC. I consumatori del servizio possono richiedere i nomi dei servizi per. Servizi AWS I provider di servizi devono condividere i nomi dei loro servizi con gli utenti.

Stati del servizio

Di seguito sono riportati i possibili stati per un servizio endpoint:

  • Pending: il servizio endpoint è in fase di creazione.

  • Available: il servizio endpoint è disponibile.

  • Failed: non è possibile creare il servizio endpoint.

  • Deleting: è in corso l'eliminazione del servizio endpoint stabilita dal provider di servizi.

  • Deleted: il servizio endpoint è eliminato.

Configurazione delle risorse

Il provider di risorse crea una configurazione di risorse per condividere una risorsa. Una configurazione di risorse è un oggetto logico che rappresenta una singola risorsa, ad esempio un database, o un gruppo di risorse. Una risorsa può essere un indirizzo IP, una destinazione con nome di dominio o un database Amazon Relational Database Service (Amazon RDS).

Quando si condivide con altri account, il provider di risorse deve condividere la risorsa tramite una condivisione di risorse AWS Resource Access Manager(AWS RAM) per consentire ai AWS principali specifici dell'altro account di connettersi alla risorsa tramite un endpoint VPC di risorse.

Le configurazioni delle risorse possono essere associate a una rete di servizi a cui i principali si connettono tramite un endpoint VPC di rete di servizi.

Gateway di risorse

Un gateway di risorse è un punto di ingresso in un VPC da cui viene condivisa una risorsa. Il provider crea un gateway di risorse per condividere le risorse dal VPC.

Consumatori di servizi o risorse

L'utente di un servizio o di una risorsa è un consumatore. I consumatori possono accedere ai servizi e alle risorse degli endpoint da loro VPCs o dall'ambiente locale.

Endpoint VPC

Un consumatore crea un endpoint VPC per connettere il proprio VPC a un servizio o una risorsa endpoint. Un consumatore deve specificare il servizio, la risorsa o la rete di servizi dell'endpoint quando crea un endpoint VPC. Esistono diversi tipi di endpoint VPC. È necessario creare il tipo di endpoint VPC richiesto.

  • Interface- Crea un endpoint di interfaccia per inviare traffico TCP o UDP a un servizio endpoint. Il traffico destinato al servizio endpoint viene risolto utilizzando il DNS.

  • GatewayLoadBalancer: crea un endpoint Gateway Load Balancer per inviare traffico a un parco istanze di appliance virtuali utilizzando indirizzi IP privati. Puoi instradare il traffico dal tuo VPC all'endpoint Gateway Load Balancer tramite le tabelle di instradamento. Gateway Load Balancer distribuisce il traffico alle appliance virtuali e può scalare in base alla domanda.

  • Resource- Crea un endpoint di risorse per accedere a una risorsa che è stata condivisa con te e che risiede in un altro VPC. Un endpoint di risorse consente di accedere in modo privato e sicuro a risorse come un database, un' EC2 istanza Amazon, un endpoint applicativo, una destinazione con nome di dominio o un indirizzo IP che può trovarsi in una sottorete privata in un altro VPC o in un ambiente locale. Gli endpoint di risorse non richiedono un sistema di bilanciamento del carico e consentono di accedere direttamente alla risorsa.

  • Service network- Crea un endpoint di rete di servizi per accedere a una rete di servizi che hai creato o che è stata condivisa con te. È possibile utilizzare un singolo endpoint di rete di servizio per accedere in modo privato e sicuro a più risorse e servizi associati a una rete di servizi.

Esiste un altro tipo di endpoint VPC, Gateway, che crea un endpoint gateway per inviare traffico ad Amazon S3 o DynamoDB. Gli endpoint gateway non vengono utilizzati AWS PrivateLink, a differenza degli altri tipi di endpoint VPC. Per ulteriori informazioni, consulta Endpoint gateway.

Interfacce di rete dell'endpoint

Un'interfaccia di rete endpoint è un'interfaccia di rete gestita dal richiedente che funge da punto di ingresso per il traffico destinato a un servizio, una risorsa o una rete di servizi endpoint. Per ciascuna sottorete specificata durante la creazione di un endpoint VPC, viene creata un'interfaccia di rete dell'endpoint nella sottorete.

Se un endpoint VPC lo supporta IPv4, le sue interfacce di rete degli endpoint dispongono di indirizzi. IPv4 Se un endpoint VPC lo supporta IPv6, le sue interfacce di rete degli endpoint dispongono di indirizzi. IPv6 L' IPv6 indirizzo per un'interfaccia di rete endpoint non è raggiungibile da Internet. Quando descrivi un'interfaccia di rete endpoint con un IPv6 indirizzo, notate che è abilitato. denyAllIgwTraffic

Policy di endpoint

Una policy di endpoint VPC è una policy delle risorse IAM che è possibile allegare all'endpoint VPC. Determina quali principali possono utilizzare l'endpoint VPC per accedere al servizio endpoint. La policy di endpoint VPC predefinita consente tutte le azioni di tutti i principali su tutte le risorse dell'endpoint VPC.

Stati dell'endpoint

Quando si crea un endpoint VPC di interfaccia, il servizio endpoint riceve una richiesta di connessione. Il provider di servizi può accettare o rifiutare tale richiesta. Se il provider di servizi accetta la richiesta, l'utente del servizio può utilizzare l'endpoint VPC nel momento in cui questo passa allo stato Available.

Di seguito sono riportati i possibili stati per un endpoint VPC:

  • PendingAcceptance: la richiesta di connessione è in sospeso. Questo è lo stato iniziale se le richieste vengono accettate manualmente.

  • Pending: il provider di servizi ha accettato la richiesta di connessione. Questo è lo stato iniziale se le richieste vengono accettate automaticamente. L'endpoint VPC torna in questo stato se l'utente del servizio modifica l'endpoint VPC.

  • Available: l'endpoint VPC è disponibile per l'uso.

  • Rejected: il provider di servizi ha rifiutato la richiesta di connessione. Il provider di servizi può rifiutare una connessione anche dopo averla resa disponibile per l'uso.

  • Expired: la richiesta di connessione è scaduta.

  • Failed: non è possibile rendere disponibile l'endpoint VPC.

  • Deleting: è in corso l'eliminazione dell'endpoint VPC stabilità dall'utente del servizio.

  • Deleted: l'endpoint VPC è eliminato.

Il traffico proveniente dal tuo VPC viene inviato a un servizio o a una risorsa endpoint utilizzando una connessione tra l'endpoint VPC e il servizio o la risorsa endpoint. Il traffico tra un endpoint VPC e un servizio o una risorsa endpoint rimane all'interno della AWS rete, senza attraversare la rete Internet pubblica.

Un fornitore di servizi aggiunge le autorizzazioni in modo che gli utenti del servizio possano accedere al servizio endpoint. Gli utenti del servizio avviano la connessione e il provider di servizi accetta o rifiuta la richiesta di connessione. Il proprietario di una risorsa o di una rete di servizi condivide una configurazione di risorse o una rete di servizi con i consumatori AWS Resource Access Manager in modo che i consumatori possano accedere alla rete di risorse o servizi.

Con gli endpoint VPC di interfaccia, i consumatori possono utilizzare le policy degli endpoint per controllare quali principali IAM possono utilizzare un endpoint VPC per accedere a un servizio o a una risorsa endpoint.

Zone ospitate private

Una zona ospitata è un container per i record DNS che definiscono il modo in cui instradare il traffico per un dominio o un sottodominio. Con una zona ospitata pubblica, i record specificano come instradare il traffico su Internet. Con una zona ospitata privata, i record specificano come indirizzare il traffico nella tua. VPCs

Puoi configurare Amazon Route 53 per instradare il traffico di dominio verso un endpoint VPC. Per ulteriori informazioni, consulta la pagina Routing del traffico a un endpoint VPC utilizzando il proprio nome dominio.

Puoi utilizzare Route 53 per configurare il DNS a orizzonte diviso, in cui utilizzi lo stesso nome di dominio sia per un sito Web pubblico che per un servizio endpoint fornito da. AWS PrivateLink Le richieste DNS per il nome host pubblico provenienti dal VPC dell'utente vengono gestite dagli indirizzi IP privati delle interfacce di rete dell'endpoint, mentre le richieste provenienti da un ambiente esterno al VPC continuano a essere risolte dagli endpoint pubblici. Per ulteriori informazioni, consulta la pagina Meccanismi DNS per instradare il traffico e abilitare il failover per le implementazioni AWS PrivateLink.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.