Accesso Servizi AWS tramite AWS PrivateLink - Amazon Virtual Private Cloud
PanoramicaDNSnomi hostDNSrisoluzionePrivato DNSSottoreti e zone di disponibilitàTipi di indirizzi IP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso Servizi AWS tramite AWS PrivateLink

Si accede e Servizio AWS si utilizza un endpoint. Gli endpoint di servizio predefiniti sono interfacce pubbliche, quindi è necessario aggiungere un gateway Internet VPC in modo che il traffico possa arrivare da a. VPC Servizio AWS Se questa configurazione non soddisfa i tuoi requisiti di sicurezza di rete, puoi utilizzarla AWS PrivateLink per connetterti VPC al tuo computer Servizi AWS come se fosse presente nel tuoVPC, senza l'uso di un gateway Internet.

Puoi accedere privatamente ai dispositivi Servizi AWS che si integrano con l' AWS PrivateLink utilizzo degli VPC endpoint. Puoi creare e gestire tutti i livelli dello stack di applicazioni senza utilizzare un gateway Internet.

Prezzi

Ti viene fatturata ogni ora di provisioning dell'VPCendpoint di interfaccia in ciascuna zona di disponibilità. Ti viene inoltre addebitato un importo per GB di dati elaborati. Per ulteriori informazioni, consultare AWS PrivateLink Prezzi.

Indice

Panoramica

Puoi accedere Servizi AWS tramite i loro endpoint di servizio pubblico o connetterti agli utenti supportati Servizi AWS . AWS PrivateLink Questa panoramica mette a confronto i due metodi.

Accesso tramite endpoint del servizio pubblico

Il diagramma seguente mostra come le istanze accedono Servizi AWS tramite gli endpoint del servizio pubblico. Il traffico Servizio AWS da e verso un'istanza in una sottorete pubblica viene indirizzato al gateway Internet per e quindi versoVPC. Servizio AWS Il traffico Servizio AWS da e verso un'istanza in una sottorete privata viene instradato a un NAT gateway, quindi al gateway Internet per laVPC, e infine a. Servizio AWS Sebbene questo traffico attraversi il gateway Internet, non esce dalla rete. AWS

Il traffico verso e Servizio AWS esce dall'utente VPC attraverso un gateway Internet, ma rimane nella AWS rete.
Connect tramite AWS PrivateLink

Il diagramma seguente mostra come le istanze accedono tramite Servizi AWS . AWS PrivateLink Innanzitutto, si crea un VPC endpoint di interfaccia, che stabilisce le connessioni tra le sottoreti presenti nelle interfacce di rete e quelle che le VPC utilizzano. Servizio AWS Il traffico destinato a Servizio AWS viene risolto negli indirizzi IP privati delle interfacce di rete degli endpoint utilizzando e quindi inviato all'utente utilizzando DNS la connessione tra l'endpoint e il Servizio AWS . VPC Servizio AWS

Il traffico proveniente da una sottorete utilizza un VPC endpoint di interfaccia per connettersi a un. Servizio AWS

Servizi AWS accetta automaticamente le richieste di connessione. Il servizio non può avviare richieste di risorse tramite l'VPCendpoint.

DNSnomi host

La maggior parte Servizi AWS offre endpoint regionali pubblici, che hanno la seguente sintassi.

protocol://service_code.region_code.amazonaws.com

Ad esempio, l'endpoint pubblico per Amazon CloudWatch in us-east-2 è il seguente.

https://monitoring.us-east-2.amazonaws.com

Con AWS PrivateLink, invii traffico al servizio utilizzando endpoint privati. Quando crei un VPC endpoint di interfaccia, creiamo DNS nomi regionali e zonali che puoi usare per comunicare con il Servizio AWS tuo. VPC

Il DNS nome regionale per l'VPCendpoint dell'interfaccia ha la seguente sintassi:

endpoint_id.service_id.region.vpce.amazonaws.com

I DNS nomi zonali hanno la seguente sintassi:

endpoint_id-az_name.service_id.region.vpce.amazonaws.com

Quando crei un VPC endpoint di interfaccia per un Servizio AWS, puoi abilitare private. DNS Con privateDNS, puoi continuare a fare richieste a un servizio utilizzando il DNS nome del relativo endpoint pubblico, sfruttando al contempo la connettività privata tramite l'endpoint di interfaccia. VPC Per ulteriori informazioni, consulta DNSrisoluzione.

Il describe-vpc-endpointscomando seguente visualizza le DNS voci relative a un endpoint di interfaccia.

aws ec2 describe-vpc-endpoints --vpc-endpoint-id vpce-099deb00b40f00e22 --query VpcEndpoints[*].DnsEntries

Di seguito è riportato un esempio di output per un endpoint di interfaccia per Amazon CloudWatch con DNS nomi privati abilitati. La prima voce è costituita dall'endpoint regionale privato. Le tre voci successive sono gli endpoint zonali privati. L'ultima voce rappresenta la zona ospitata privata nascosta, che risolve le richieste dell'endpoint pubblico agli indirizzi IP privati delle interfacce di rete dell'endpoint.

[
    [
        {
            "DnsName": "vpce-099deb00b40f00e22-lj2wisx3.monitoring.us-east-2.vpce.amazonaws.com",
            "HostedZoneId": "ZC8PG0KIFKBRI"
        },
        {
            "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2c.monitoring.us-east-2.vpce.amazonaws.com",
            "HostedZoneId": "ZC8PG0KIFKBRI"
        },
        {
            "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2a.monitoring.us-east-2.vpce.amazonaws.com",
            "HostedZoneId": "ZC8PG0KIFKBRI"
        },
        {
            "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2b.monitoring.us-east-2.vpce.amazonaws.com",
            "HostedZoneId": "ZC8PG0KIFKBRI"
        },
        {
            "DnsName": "monitoring.us-east-2.amazonaws.com",
            "HostedZoneId": "Z06320943MMOWYG6MAVL9"
        }
    ]
]

DNSrisoluzione

I DNS record che creiamo per il tuo VPC endpoint di interfaccia sono pubblici. Pertanto, questi DNS nomi sono risolvibili pubblicamente. Tuttavia, DNS le richieste dall'esterno restituiscono VPC comunque gli indirizzi IP privati delle interfacce di rete degli endpoint, quindi questi indirizzi IP non possono essere utilizzati per accedere al servizio endpoint a meno che non si abbia accesso a. VPC

Privato DNS

Se abiliti private DNS per il tuo VPC endpoint di interfaccia e hai VPC abilitato sia i DNSnomi host che la DNS risoluzione, creiamo per te una zona ospitata privata nascosta e AWS gestita. La zona ospitata contiene un set di record per il DNS nome predefinito del servizio che lo risolve negli indirizzi IP privati delle interfacce di rete degli endpoint del tuo dispositivo. VPC Pertanto, se disponi di applicazioni esistenti che inviano richieste a un endpoint regionale pubblico, tali richieste ora passano attraverso le interfacce di rete degli endpoint, senza che sia necessario apportare modifiche a tali applicazioni. Servizio AWS

Ti consigliamo di abilitare i DNS nomi privati per i tuoi VPC endpoint per. Servizi AWS Ciò garantisce che le richieste che utilizzano gli endpoint del servizio pubblico, ad esempio le richieste effettuate tramite un AWS SDK, vengano risolte sul tuo VPC endpoint.

Amazon fornisce un DNS server per teVPC, chiamato Route 53 Resolver. Il Route 53 Resolver risolve automaticamente i nomi di VPC dominio locali e i record in zone ospitate private. Tuttavia, non puoi utilizzare il Route 53 Resolver dall'esterno del tuo. VPC Se desideri accedere al tuo VPC endpoint dalla tua rete locale, puoi utilizzare gli endpoint Route 53 Resolver e le regole Resolver. Per ulteriori informazioni, consulta Integrazione con and. AWS Transit GatewayAWS PrivateLinkAmazon Route 53 Resolver

Sottoreti e zone di disponibilità

È possibile configurare l'VPCendpoint con una sottorete per zona di disponibilità. Creiamo un'interfaccia di rete endpoint per l'VPCendpoint nella tua sottorete. Assegniamo gli indirizzi IP a ciascuna interfaccia di rete dell'endpoint dalla relativa sottorete, in base al tipo di indirizzo IP dell'endpoint. VPC Gli indirizzi IP di un'interfaccia di rete endpoint non cambieranno durante la vita dell'endpoint. VPC

In un ambiente di produzione, per un'elevata disponibilità e resilienza, consigliamo quanto segue:

  • Configura almeno due zone di disponibilità per VPC endpoint e distribuisci AWS le risorse che devono accedervi Servizio AWS in queste zone di disponibilità.

  • Configura DNS i nomi privati per l'endpoint. VPC

  • Accedi a Servizio AWS utilizzando il suo DNS nome regionale, noto anche come endpoint pubblico.

Il diagramma seguente mostra un VPC endpoint per Amazon CloudWatch con un'interfaccia di rete endpoint in un'unica zona di disponibilità. Quando una risorsa in qualsiasi sottorete VPC accede ad Amazon CloudWatch utilizzando il suo endpoint pubblico, risolviamo il traffico verso l'indirizzo IP dell'interfaccia di rete dell'endpoint. Include il traffico proveniente da sottoreti in altre zone di disponibilità. Tuttavia, se la Zona di disponibilità 1 è compromessa, le risorse nella Zona di disponibilità 2 perdono l'accesso ad Amazon CloudWatch.

Un VPC endpoint di interfaccia per Amazon CloudWatch abilitato per una singola zona di disponibilità.

Il diagramma seguente mostra un VPC endpoint per Amazon CloudWatch con interfacce di rete endpoint in due zone di disponibilità. Quando una risorsa in qualsiasi sottorete VPC accede ad Amazon CloudWatch utilizzando il suo endpoint pubblico, selezioniamo un'interfaccia di rete endpoint sana, utilizzando l'algoritmo round robin per alternarle. Quindi trasferiamo il traffico verso l'indirizzo IP dell'interfaccia di rete dell'endpoint selezionata.

Un VPC endpoint di interfaccia per Amazon CloudWatch abilitato per più zone di disponibilità.

Se è più adatto al tuo caso d'uso, puoi inviare traffico al Servizio AWS dalle tue risorse utilizzando l'interfaccia di rete dell'endpoint nella stessa zona di disponibilità. A tale scopo, utilizza l'endpoint zonale privato o l'indirizzo IP dell'interfaccia di rete dell'endpoint.

Un VPC endpoint di interfaccia con traffico che utilizza gli endpoint zonali privati.

Tipi di indirizzi IP

Servizi AWS possono supportare IPv6 tramite i propri endpoint privati anche se non lo fanno IPv6 tramite i propri endpoint pubblici. Gli endpoint che lo supportano IPv6 possono rispondere alle DNS domande con record. AAAA

Requisiti da abilitare IPv6 per un endpoint di interfaccia

  • Servizio AWS Deve rendere disponibili i propri endpoint di servizio su. IPv6 Per ulteriori informazioni, consulta Visualizza il supporto IPv6.

  • Il tipo di indirizzo IP di un endpoint dell'interfaccia deve essere compatibile con le sottoreti dell'endpoint dell'interfaccia, come descritto di seguito:

    • IPv4— Assegna IPv4 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate hanno intervalli di indirizzi. IPv4

    • IPv6— Assegna IPv6 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate sono solo sottoreti. IPv6

    • Dualstack: assegna entrambi IPv4 gli indirizzi alle interfacce di rete degli endpoint. IPv6 Questa opzione è supportata solo se tutte le sottoreti selezionate hanno entrambi gli intervalli di indirizzi. IPv4 IPv6

Se un VPC endpoint di interfaccia supportaIPv4, le interfacce di rete degli endpoint dispongono di indirizzi. IPv4 Se un VPC endpoint di interfaccia supportaIPv6, le interfacce di rete degli endpoint dispongono di indirizzi. IPv6 L'IPv6indirizzo per un'interfaccia di rete endpoint non è raggiungibile da Internet. Se descrivi un'interfaccia di rete endpoint con un IPv6 indirizzo, nota che è abilitata. denyAllIgwTraffic