AWS PrivateLink conceitos - Amazon Virtual Private Cloud
Diagrama de arquiteturaProvedoresConsumidores de serviços ou recursosAWS PrivateLink conexõesZonas hospedadas privadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS PrivateLink conceitos

É possível usar a Amazon VPC para definir uma nuvem privada virtual (VPC), que é uma rede virtual isolada logicamente. Você pode permitir que os clientes em sua VPC se conectem a destinos fora dessa VPC. Por exemplo, adicione um gateway da internet à VPC para permitir o acesso à Internet ou adicione uma conexão da VPN para permitir o acesso à rede on-premises. Como alternativa, use AWS PrivateLink para permitir que os clientes em sua VPC se conectem a serviços e recursos em outros VPCs usando endereços IP privados, como se esses serviços e recursos estivessem hospedados diretamente em sua VPC.

Veja a seguir conceitos importantes que você deve entender ao começar a usar o AWS PrivateLink.

Diagrama de arquitetura

O diagrama a seguir fornece uma visão geral de alto nível de como AWS PrivateLink funciona. Os consumidores criam endpoints de VPC para se conectar a serviços e recursos de endpoints hospedados por provedores.

Os consumidores de serviços criam endpoints de VPC para se conectar a serviços e recursos de endpoint hospedados por provedores.

Provedores

Entenda os conceitos relacionados a um provedor.

Provedor de serviços

O proprietário de um serviço é o provedor de serviços. Os provedores de serviços incluem AWS AWS parceiros e outros Contas da AWS. Os provedores de serviços podem hospedar seus serviços usando AWS recursos, como EC2 instâncias, ou usando servidores locais.

Provedor de recursos

O proprietário de um recurso, por exemplo, um banco de dados ou uma EC2 instância da Amazon, é o provedor do recurso. Os provedores de recursos incluem AWS serviços, AWS parceiros e outras AWS contas. Os provedores de recursos podem hospedar seus recursos no local VPCs ou no local.

Serviços de endpoint

Um provedor de serviços cria um serviço de endpoint para disponibilizar seu serviço em uma região. Um provedor de serviços deve especificar um balanceador de carga ao criar um serviço de endpoint. O balanceador de carga recebe solicitações de consumidores do serviço e as encaminha ao serviço.

Por padrão, o serviço de endpoint não está disponível aos consumidores do serviço. Você deve adicionar permissões que permitam que AWS entidades específicas se conectem ao seu serviço de endpoint.

Nomes de serviço

Cada serviço de endpoint é identificado por um nome de serviço. O consumidor do serviço deve especificar o nome do serviço ao criar um endpoint da VPC. Os consumidores de serviços podem consultar os nomes dos serviços Serviços da AWS. Os provedores de serviços devem compartilhar os nomes de seus serviços com os consumidores.

Estados do serviço

Estes são estados possíveis para um serviço de endpoint:

  • Pending: o serviço de endpoint está sendo criado.

  • Available: o serviço de endpoint está disponível.

  • Failed: não foi possível criar o serviço de endpoint.

  • Deleting: o provedor de serviços excluiu o serviço de endpoint, e a exclusão está em andamento.

  • Deleted: o serviço de endpoint foi excluído.

Configuração de recursos

O provedor de recursos cria uma configuração de recursos para compartilhar um recurso. Uma configuração de recurso é um objeto lógico que representa um único recurso, como um banco de dados, ou um grupo de recursos. Um recurso pode ser um endereço IP, um destino de nome de domínio ou um banco de dados do Amazon Relational Database Service (Amazon RDS).

Ao compartilhar com outras contas, o provedor de recursos deve compartilhar o recurso por meio de um compartilhamento de recursos AWS Resource Access Manager(AWS RAM) para permitir que AWS diretores específicos na outra conta se conectem ao recurso por meio de um endpoint VPC de recursos.

As configurações de recursos podem ser associadas a uma rede de serviços à qual os principais se conectam por meio de um endpoint VPC de rede de serviços.

Gateway de recursos

Um gateway de recursos é um ponto de entrada em uma VPC de onde um recurso está sendo compartilhado. O provedor cria um gateway de recursos para compartilhar recursos da VPC.

Consumidores de serviços ou recursos

O usuário de um serviço ou recurso é um consumidor. Os consumidores podem acessar serviços e recursos de endpoint a partir deles VPCs ou do local.

Endpoints da VPC

Um consumidor cria um VPC endpoint para conectar sua VPC a um serviço ou recurso de endpoint. O consumidor deve especificar o serviço, o recurso ou a rede de serviços do endpoint ao criar um endpoint VPC. Há vários tipos de endpoints da VPC. Você deve criar o tipo de VPC endpoint de que precisa.

  • Interface- Crie um endpoint de interface para enviar tráfego TCP ou UDP para um serviço de endpoint. O tráfego destinado ao serviço de endpoint é resolvido usando DNS.

  • GatewayLoadBalancer: crie um endpoint do Gateway Load Balancer para enviar tráfego a uma frota de dispositivos virtuais usando endereços IP privados. Encaminhe o tráfego da VPC ao endpoint do Gateway Load Balancer usando tabelas de rotas. O Gateway Load Balancer distribui o tráfego aos dispositivos virtuais e pode ser escalado conforme a demanda.

  • Resource- Crie um endpoint de recursos para acessar um recurso que foi compartilhado com você e reside em outra VPC. Um endpoint de recursos permite que você acesse recursos de forma privada e segura, como um banco de dados, uma EC2 instância da Amazon, um endpoint de aplicativo, um destino de nome de domínio ou um endereço IP que pode estar em uma sub-rede privada em outra VPC ou em um ambiente local. Os endpoints de recursos não exigem um balanceador de carga e permitem que você acesse o recurso diretamente.

  • Service network- Crie um endpoint de rede de serviços para acessar uma rede de serviços que você criou ou foi compartilhada com você. Você pode usar um único endpoint de rede de serviços para acessar de forma privada e segura vários recursos e serviços associados a uma rede de serviços.

Há outro tipo de endpoint da VPC, o Gateway, que cria um endpoint de gateway para enviar tráfego ao Amazon S3 ou ao DynamoDB. Os endpoints de gateway não são usados AWS PrivateLink, ao contrário dos outros tipos de endpoints de VPC. Para obter mais informações, consulte Endpoints de gateway.

Interfaces de rede de endpoint

Uma interface de rede de endpoint é uma interface de rede gerenciada pelo solicitante que serve como ponto de entrada para o tráfego destinado a um serviço, recurso ou rede de serviços de endpoint. Para cada sub-rede que você especificar ao criar um endpoint da VPC, criamos uma interface de rede de endpoint na sub-rede.

Se um endpoint VPC for compatível IPv4, suas interfaces de rede de endpoint terão endereços. IPv4 Se um endpoint VPC for compatível IPv6, suas interfaces de rede de endpoint terão endereços. IPv6 O IPv6 endereço de uma interface de rede de endpoint não pode ser acessado pela Internet. Ao descrever uma interface de rede de endpoint com um IPv6 endereço, observe que ela denyAllIgwTraffic está ativada.

Políticas de endpoint

Uma política de endpoint da VPC é uma política de recursos do IAM que você anexa a um endpoint da VPC. Ele determina quais entidades principais poderão usar o endpoint da VPC para acessar o serviço de endpoint. A política padrão de endpoint da VPC permite todas as ações realizadas por todas as entidades principais em todos os recursos sobre o endpoint da VPC.

Estados do endpoint

Quando você cria uma interface VPC endpoint, o serviço de endpoint recebe uma solicitação de conexão. O provedor de serviços pode aceitar ou rejeitar a solicitação. Se o provedor de serviços aceitar a solicitação, o consumidor do serviço poderá usar o endpoint da VPC depois que ele entrar no estado Available.

Estes são os estados possíveis para um endpoint da VPC:

  • PendingAcceptance: a solicitação de conexão está pendente. Esse será o estado inicial se as solicitações forem aceitas manualmente.

  • Pending: o provedor de serviços aceitou a solicitação de conexão. Esse será o estado inicial se as solicitações forem aceitas automaticamente. O endpoint da VPC retornará a esse estado se o consumidor do serviço modificar o endpoint da VPC.

  • Available: o endpoint da VPC está disponível para uso.

  • Rejected: o provedor de serviços rejeitou a solicitação de conexão. O provedor de serviços também poderá rejeitar uma conexão depois que ela estiver disponível para uso.

  • Expired: a solicitação de conexão expirou.

  • Failed: não foi possível disponibilizar o endpoint da VPC.

  • Deleting: o consumidor do serviço excluiu o endpoint da VPC, e a exclusão está em andamento.

  • Deleted: o endpoint da VPC foi excluído.

O tráfego da sua VPC é enviado para um serviço ou recurso de endpoint usando uma conexão entre o endpoint da VPC e o serviço ou recurso do endpoint. O tráfego entre um endpoint VPC e um serviço ou recurso de endpoint permanece dentro da AWS rede, sem atravessar a Internet pública.

Um provedor de serviços adiciona permissões para que os consumidores possam acessar o serviço de endpoint. O consumidor do serviço inicia a conexão e o provedor aceita ou rejeita as solicitações de conexão. O proprietário de um recurso ou proprietário da rede de serviços compartilha uma configuração de recursos ou uma rede de serviços com os consumidores AWS Resource Access Manager para que os consumidores possam acessar a rede de recursos ou serviços.

Com a interface VPC endpoints, os consumidores podem usar políticas de endpoint para controlar quais diretores do IAM podem usar um endpoint VPC para acessar um serviço ou recurso de endpoint.

Zonas hospedadas privadas

Uma zona hospedada é um contêiner para registros DNS que define como encaminhar o tráfego a um domínio ou subdomínio. Com uma zona hospedada pública, os registros especificam a forma como você quer encaminhar o tráfego na Internet. Com uma zona hospedada privada, os registros especificam como rotear o tráfego em sua VPCs.

É possível configurar o Amazon Route 53 para encaminhar o tráfego do domínio a um endpoint da VPC. Para obter mais informações, consulte: Routing traffic to a VPC endpoint using your domain name (Encaminhar tráfego a um endpoint da VPC usando seu nome de domínio).

Você pode usar o Route 53 para configurar o DNS de horizonte dividido, onde você usa o mesmo nome de domínio para um site público e um serviço de endpoint desenvolvido por. AWS PrivateLink As solicitações de DNS para o nome de host público da VPC do consumidor são direcionadas aos endereços IP privados das interfaces de rede do endpoint, mas as solicitações de fora da VPC continuam sendo resolvidas para os endpoints públicos. Para obter mais informações, consulte Mecanismos DNS para encaminhar tráfego e habilitar failover para implantações de AWS PrivateLink.