Condividi i tuoi servizi tramite AWS PrivateLink - Amazon Virtual Private Cloud
PanoramicaHostname DNSDNS privatoAccesso tra regioniTipi di indirizzi IP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condividi i tuoi servizi tramite AWS PrivateLink

Puoi ospitare il tuo servizio AWS PrivateLink personalizzato, noto come servizio endpoint, e condividerlo con altri AWS clienti.

Indice

Panoramica

Il diagramma seguente mostra come condividi il servizio ospitato AWS con altri AWS clienti e come questi clienti si connettono al tuo servizio. In qualità di provider di servizi, crea un Network Load Balancer nel tuo VPC come front-end del servizio. Seleziona quindi il load balancer durante la configurazione del servizio endpoint VPC. Concedi l'autorizzazione a principali AWS specifici in modo che possano connettersi al servizio. In qualità di utente del servizio, il consumatore crea un endpoint VPC dell'interfaccia che stabilisce connessioni tra le sottoreti selezionate dal proprio VPC e il servizio endpoint. Il load balancer riceve le richieste dagli utenti del servizio e le instrada alle destinazioni che lo ospitano.

Gli utenti del servizio si connettono ai servizi endpoint ospitati dai provider di servizi.

Per una bassa latenza e una disponibilità elevata, consigliamo di rendere il servizio disponibile in almeno due zone di disponibilità.

Hostname DNS

Quando un provider di servizi crea un servizio endpoint VPC, AWS genera un nome host DNS specifico dell'endpoint per il servizio. Questi nomi sono caratterizzati dalla sintassi seguente:

endpoint_service_id.region.vpce.amazonaws.com

Di seguito è riportato un esempio di un nome host DNS per un servizio endpoint VPC nella regione us-est-2:

vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com

Quando un utente del servizio crea un endpoint VPC dell'interfaccia, vengono generati i nomi DNS regionali e zonali che l'utente può utilizzare per comunicare con il servizio endpoint. I nomi regionali sono caratterizzati dalla sintassi seguente:

endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com

I nomi zonali sono caratterizzati dalla sintassi seguente:

endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com

DNS privato

Un provider di servizi può inoltre associare un nome DNS privato al proprio servizio endpoint, in modo che gli utenti del servizio possano continuare ad accedere al servizio utilizzando il nome DNS esistente. Se un provider di servizi associa un nome DNS privato al servizio endpoint, gli utenti del servizio possono abilitare i nomi DNS privati per gli endpoint di interfaccia. Se un provider di servizi non abilita il DNS privato, gli utenti del servizio potrebbero dover aggiornare le proprie applicazioni per utilizzare il nome DNS pubblico del servizio endpoint VPC. Per ulteriori informazioni, consulta Gestione dei nomi DNS.

Accesso tra regioni

Un provider di servizi può ospitare un servizio in una regione e renderlo disponibile in una serie di regioni supportate. Un consumatore di servizi seleziona una regione di servizio durante la creazione di un endpoint.

Autorizzazioni

  • Per impostazione predefinita, le entità IAM non sono autorizzate a rendere disponibile un servizio endpoint in più regioni o ad accedere a un servizio endpoint in più regioni. Per concedere le autorizzazioni necessarie per l'accesso tra più regioni, un amministratore IAM può creare policy IAM che consentano l'azione solo in base alle autorizzazioni. vpce:AllowMultiRegion

  • Per controllare le regioni che un'entità IAM può specificare come regione supportata durante la creazione di un servizio endpoint, utilizza la chiave condition. ec2:VpceSupportedRegion

  • Per controllare le regioni che un'entità IAM può specificare come regione di servizio durante la creazione di un endpoint VPC, utilizza la ec2:VpceServiceRegion chiave condition.

Considerazioni

  • Un provider di servizi deve aderire a una regione con consenso esplicito prima di aggiungerla come regione supportata per un servizio endpoint.

  • Il servizio endpoint deve essere accessibile dalla regione ospitante. Non è possibile rimuovere la regione ospitante dal set di regioni supportate. Per motivi di ridondanza, puoi distribuire il servizio endpoint in più regioni e abilitare l'accesso interregionale per ogni servizio endpoint.

  • Un consumatore di servizi deve aderire a una regione opzionale prima di selezionarla come regione di servizio per un endpoint. Ove possibile, consigliamo agli utenti del servizio di accedere a un servizio utilizzando la connettività interregionale anziché la connettività interregionale. La connettività intraregionale offre una latenza inferiore e costi inferiori.

  • Se un fornitore di servizi rimuove una regione dal set di regioni supportate, gli utenti del servizio non possono selezionare tale regione come regione di servizio quando creano nuovi endpoint. Tieni presente che ciò non influisce sull'accesso al servizio endpoint dagli endpoint esistenti che utilizzano questa regione come regione del servizio.

  • Per un'elevata disponibilità, sia i fornitori che i consumatori devono utilizzare almeno due zone di disponibilità. Tieni presente che l'accesso tra regioni non richiede che fornitori e consumatori utilizzino le stesse zone di disponibilità.

  • Con l'accesso interregionale, AWS PrivateLink gestisce il failover tra zone di disponibilità. Non gestisce il failover tra le regioni.

  • L'accesso tra regioni non è supportato per Marketplace AWS i servizi con un nome DNS intuitivo.

  • L'accesso tra regioni non è supportato per i Network Load Balancer con un valore personalizzato configurato per il timeout di inattività TCP.

  • L'accesso tra regioni non è supportato con la frammentazione UDP.

Tipi di indirizzi IP

I provider di servizi possono rendere disponibili i propri endpoint di servizio agli utenti del servizio tramite o entrambi IPv4 e IPv4 IPv6 IPv6, anche se i loro server di backend supportano solo il supporto. IPv4 Se abiliti il supporto dualstack, i consumatori esistenti possono continuare a utilizzarlo per accedere IPv4 al tuo servizio e i nuovi consumatori possono scegliere di utilizzare IPv6 per accedere al tuo servizio.

Se l'interfaccia è supportata da un endpoint VPC IPv4, le interfacce di rete degli endpoint dispongono di indirizzi. IPv4 Se l'interfaccia è supportata da un endpoint VPC IPv6, le interfacce di rete degli endpoint dispongono di indirizzi. IPv6 L' IPv6 indirizzo per un'interfaccia di rete endpoint non è raggiungibile da Internet. Se descrivi un'interfaccia di rete endpoint con un IPv6 indirizzo, nota che è abilitata. denyAllIgwTraffic

Requisiti per l'attivazione IPv6 di un servizio endpoint

  • Il VPC e le sottoreti per il servizio endpoint devono avere blocchi CIDR associati. IPv6

  • Tutti i Network Load Balancer per il servizio endpoint devono utilizzare il tipo di indirizzo IP dualstack. Non è necessario che gli obiettivi supportino il traffico. IPv6 Se il servizio elabora gli indirizzi IP di origine dall'intestazione del protocollo proxy versione 2, deve elaborare IPv6 gli indirizzi.

Requisiti da abilitare IPv6 per un endpoint di interfaccia

  • Il servizio endpoint deve supportare IPv6 le richieste.

  • Il tipo di indirizzo IP di un endpoint dell'interfaccia deve essere compatibile con le sottoreti dell'endpoint dell'interfaccia, come descritto di seguito:

    • IPv4— Assegna IPv4 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate hanno intervalli di indirizzi. IPv4

    • IPv6— Assegna IPv6 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate sono solo sottoreti. IPv6

    • Dualstack: assegna entrambi IPv4 gli indirizzi alle interfacce di rete degli endpoint. IPv6 Questa opzione è supportata solo se tutte le sottoreti selezionate hanno entrambi gli intervalli di indirizzi. IPv4 IPv6

Tipo di indirizzo IP del record DNS per un endpoint dell'interfaccia

Il tipo di indirizzo IP del record DNS supportato da un endpoint dell'interfaccia determina i record DNS creati. Il tipo di indirizzo IP del record DNS di un endpoint dell'interfaccia deve essere compatibile con il tipo di indirizzo IP dell'endpoint dell'interfaccia, come descritto di seguito:

  • IPv4— Crea record A per i nomi DNS privati, regionali e zonali. Il tipo di indirizzo IP deve essere IPv4o Dualstack.

  • IPv6— Crea record AAAA per i nomi DNS privati, regionali e zonali. Il tipo di indirizzo IP deve essere IPv6o Dualstack.

  • Dualstack: consente di creare record A e AAAA per i nomi DNS privati, regionali e zonali. Il tipo di indirizzo IP deve essere Dualstack.