AWS PrivateLink concetti - Amazon Virtual Private Cloud
Diagramma architetturaleProvider di serviziUtenti del servizioAWS PrivateLink connessioniZone ospitate private

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS PrivateLink concetti

È possibile utilizzare Amazon VPC per definire un cloud privato virtuale (VPC), ossia una rete virtuale isolata logicamente. Puoi avviare AWS risorse nel tuo VPC. e consentirne la connessione a risorse esterne. Ad esempio, puoi aggiungere un gateway Internet al VPC per consentire l'accesso a Internet o aggiungere una connessione VPN per consentire l'accesso alla tua rete on-premise. In alternativa, AWS PrivateLink utilizzalo per consentire alle risorse del tuo VPC di connettersi ai servizi di altri VPC utilizzando indirizzi IP privati, come se tali servizi fossero ospitati direttamente nel tuo VPC.

Di seguito sono riportati alcuni concetti fondamentali da conoscere quando si inizia a utilizzare AWS PrivateLink.

Diagramma architetturale

Il diagramma seguente fornisce una panoramica di alto livello del funzionamento. AWS PrivateLink Gli utenti del servizio creano endpoint VPC dell'interfaccia per connettersi ai servizi endpoint ospitati dai provider di servizi.

Gli utenti del servizio creano endpoint VPC dell'interfaccia per connettersi a servizi endpoint ospitati dai provider di servizi.

Provider di servizi

Il proprietario di un servizio è il provider di servizi. I fornitori di servizi includono AWS AWS partner e altri. Account AWS I fornitori di servizi possono ospitare i propri servizi utilizzando AWS risorse, come le istanze EC2, o utilizzando server locali.

Servizi endpoint

Un provider di servizi crea un servizio endpoint per rendere disponibile un determinato servizio in una regione. Durante la creazione di un servizio endpoint, il provider di servizi deve specificare un load balancer. Il load balancer riceve le richieste dagli utenti del servizio e le instrada al servizio.

Per impostazione predefinita, il servizio endpoint non è disponibile per gli utenti del servizio. È necessario aggiungere autorizzazioni che consentano a soggetti specifici di connettersi al AWS servizio endpoint.

Nomi dei servizi

Ogni servizio endpoint è identificato da un nome del servizio. Un utente del servizio deve specificare tale nome durante la creazione di un endpoint VPC. I consumatori del servizio possono richiedere i nomi dei servizi per. Servizi AWS I provider di servizi devono condividere i nomi dei loro servizi con gli utenti.

Stati del servizio

Di seguito sono riportati i possibili stati per un servizio endpoint:

  • Pending: il servizio endpoint è in fase di creazione.

  • Available: il servizio endpoint è disponibile.

  • Failed: non è possibile creare il servizio endpoint.

  • Deleting: è in corso l'eliminazione del servizio endpoint stabilita dal provider di servizi.

  • Deleted: il servizio endpoint è eliminato.

Utenti del servizio

Il consumatore di un servizio è un utente del servizio. Gli utenti dei servizi possono accedere ai servizi endpoint da AWS risorse, come le istanze EC2, o dai server locali.

Endpoint VPC

Un utente del servizio crea un endpoint VPC per connettere il proprio VPC a un servizio endpoint. Un utente del servizio deve specificare il nome del servizio endpoint durante la creazione di un endpoint VPC. Esistono diversi tipi di endpoint VPC. È necessario creare il tipo di endpoint VPC richiesto dal servizio endpoint.

  • Interface - Crea un endpoint di interfaccia per inviare traffico TCP a un servizio endpoint. Il traffico destinato al servizio endpoint viene risolto utilizzando il DNS.

  • GatewayLoadBalancer: crea un endpoint Gateway Load Balancer per inviare traffico a un parco istanze di appliance virtuali utilizzando indirizzi IP privati. Puoi instradare il traffico dal tuo VPC all'endpoint Gateway Load Balancer tramite le tabelle di instradamento. Gateway Load Balancer distribuisce il traffico alle appliance virtuali e può scalare in base alla domanda.

Esiste un altro tipo di endpoint VPC, Gateway, che crea un endpoint gateway per inviare traffico ad Amazon S3 o DynamoDB. Gli endpoint gateway non vengono utilizzati AWS PrivateLink, a differenza degli altri tipi di endpoint VPC. Per ulteriori informazioni, consulta Endpoint gateway.

Interfacce di rete dell'endpoint

Con interfaccia di rete dell'endpoint si intende un'interfaccia di rete gestita dal richiedente che funge da punto di ingresso per il traffico destinato a un servizio endpoint. Per ciascuna sottorete specificata durante la creazione di un endpoint VPC, viene creata un'interfaccia di rete dell'endpoint nella sottorete.

Se un endpoint VPC supporta IPv4, le relative interfacce di rete dell'endpoint dispongono di indirizzi IPv4. Se un endpoint VPC supporta IPv6, le relative interfacce di rete dell'endpoint dispongono di indirizzi IPv6. L'indirizzo IPv6 per un'interfaccia di rete dell'endpoint non è raggiungibile da Internet. Quando descrivi un'interfaccia di rete dell'endpoint con un indirizzo IPv6, l'opzione denyAllIgwTraffic sarà abilitata.

Gli indirizzi IP di un'interfaccia di rete dell'endpoint non cambieranno durante la durata del relativo endpoint VPC.

Policy di endpoint

Una policy di endpoint VPC è una policy delle risorse IAM che è possibile allegare all'endpoint VPC. Determina quali principali possono utilizzare l'endpoint VPC per accedere al servizio endpoint. La policy di endpoint VPC predefinita consente tutte le azioni di tutti i principali su tutte le risorse dell'endpoint VPC.

Stati dell'endpoint

Quando crei un endpoint VPC, il servizio endpoint riceve una richiesta di connessione. Il provider di servizi può accettare o rifiutare tale richiesta. Se il provider di servizi accetta la richiesta, l'utente del servizio può utilizzare l'endpoint VPC nel momento in cui questo passa allo stato Available.

Di seguito sono riportati i possibili stati per un endpoint VPC:

  • PendingAcceptance: la richiesta di connessione è in sospeso. Questo è lo stato iniziale se le richieste vengono accettate manualmente.

  • Pending: il provider di servizi ha accettato la richiesta di connessione. Questo è lo stato iniziale se le richieste vengono accettate automaticamente. L'endpoint VPC torna in questo stato se l'utente del servizio modifica l'endpoint VPC.

  • Available: l'endpoint VPC è disponibile per l'uso.

  • Rejected: il provider di servizi ha rifiutato la richiesta di connessione. Il provider di servizi può rifiutare una connessione anche dopo averla resa disponibile per l'uso.

  • Expired: la richiesta di connessione è scaduta.

  • Failed: non è possibile rendere disponibile l'endpoint VPC.

  • Deleting: è in corso l'eliminazione dell'endpoint VPC stabilità dall'utente del servizio.

  • Deleted: l'endpoint VPC è eliminato.

Il traffico proveniente dal VPC viene inviato a un servizio endpoint utilizzando una connessione tra l'endpoint VPC e il servizio endpoint. Il traffico tra un endpoint VPC e un servizio endpoint rimane all'interno della AWS rete, senza attraversare la rete Internet pubblica.

Un fornitore di servizi aggiunge le autorizzazioni in modo che gli utenti del servizio possano accedere al servizio endpoint. Gli utenti del servizio avviano la connessione e il provider di servizi accetta o rifiuta la richiesta di connessione.

Con un endpoint VPC di interfaccia, gli utenti del servizio possono utilizzare le policy di endpoint per controllare quali principali IAM possono usare l'endpoint VPC per accedere al servizio endpoint.

Zone ospitate private

Una zona ospitata è un container per i record DNS che definiscono il modo in cui instradare il traffico per un dominio o un sottodominio. Con una zona ospitata pubblica, i record specificano come instradare il traffico su Internet. Per una zona ospitata privata, i record specificano come instradare il traffico verso i VPC.

Puoi configurare Amazon Route 53 per instradare il traffico di dominio verso un endpoint VPC. Per ulteriori informazioni, consulta la pagina Routing del traffico a un endpoint VPC utilizzando il proprio nome dominio.

Puoi utilizzare Route 53 per configurare il DNS a orizzonte diviso, utilizzando lo stesso nome di dominio sia per un sito Web pubblico che per un servizio endpoint fornito da. AWS PrivateLink Le richieste DNS per il nome host pubblico provenienti dal VPC dell'utente vengono gestite dagli indirizzi IP privati delle interfacce di rete dell'endpoint, mentre le richieste provenienti da un ambiente esterno al VPC continuano a essere risolte dagli endpoint pubblici. Per ulteriori informazioni, consulta la pagina Meccanismi DNS per instradare il traffico e abilitare il failover per le implementazioni AWS PrivateLink.