Visão geral Nomes de hosts DNS Resolução do DNS DNS privado Zonas de disponibilidade e sub-redes Tipos de endereço IP

Acesse Serviços da AWS através de AWS PrivateLink

Você acessa e AWS service (Serviço da AWS) usa um endpoint. Os endpoints de serviço padrão são interfaces públicas, então é necessário adicionar um gateway da Internet à VPC para que o tráfego possa ir da VPC para o AWS service (Serviço da AWS). Se essa configuração não funcionar com seus requisitos de segurança de rede, você pode usar AWS PrivateLink para conectar sua VPC Serviços da AWS como se ela estivesse em sua VPC, sem o uso de um gateway de internet.

Você pode acessar de forma privada aqueles Serviços da AWS que se integram com o AWS PrivateLink uso de VPC endpoints. Você pode criar e gerenciar todas as camadas da pilha de aplicações sem usar um gateway da Internet.

Definição de preço

Você é cobrado por cada hora em que sua interface VPC endpoint é provisionada em cada zona de disponibilidade. Você também é cobrado por GB de dados processados. Para obter mais informações, consulte Preços do AWS PrivateLink.

Conteúdo

Visão geral

Você pode acessar Serviços da AWS por meio de seus endpoints de serviço público ou se conectar a um Serviços da AWS uso AWS PrivateLink compatível. Esta visão geral compara esses métodos.

Acesso por meio de endpoints de serviço públicos

O diagrama a seguir mostra como as instâncias acessam Serviços da AWS por meio dos endpoints de serviço público. O tráfego AWS service (Serviço da AWS) de e para uma instância em uma sub-rede pública é roteado para o gateway da Internet da VPC e, em seguida, para o. AWS service (Serviço da AWS) O tráfego para um AWS service (Serviço da AWS) de uma instância em uma sub-rede privada é encaminhado a um gateway NAT, depois ao gateway da Internet da VPC e depois ao AWS service (Serviço da AWS). Enquanto esse tráfego atravessa o gateway da Internet, ele não sai da AWS rede.

O tráfego para e AWS service (Serviço da AWS) sai da sua VPC por meio de um gateway da Internet, mas permanece na AWS rede.

Conecte-se por meio de AWS PrivateLink

O diagrama a seguir mostra como as instâncias Serviços da AWS acessam AWS PrivateLink. Primeiro, você cria uma interface VPC endpoint, que estabelece conexões entre as sub-redes em sua VPC e uma interface de rede de uso. AWS service (Serviço da AWS) O tráfego destinado ao AWS service (Serviço da AWS) é resolvido para os endereços IP privados das interfaces de rede do endpoint usando o DNS e, em seguida, enviado para o AWS service (Serviço da AWS) usando a conexão entre o VPC endpoint e o. AWS service (Serviço da AWS)

O tráfego de uma sub-rede usa uma interface VPC endpoint para se conectar a um. AWS service (Serviço da AWS)

Serviços da AWS aceite solicitações de conexão automaticamente. O serviço não pode iniciar solicitações para recursos pelo endpoint da VPC.

Nomes de hosts DNS

A maioria Serviços da AWS oferece endpoints regionais públicos, que têm a seguinte sintaxe.


protocol://service_code.region_code.amazonaws.com

Por exemplo, o endpoint público da Amazon CloudWatch em us-east-2 é o seguinte.


https://monitoring.us-east-2.amazonaws.com

Com AWS PrivateLink, você envia tráfego para o serviço usando endpoints privados. Quando você cria uma interface de VPC endpoint, criamos nomes de DNS regionais e zonais que você pode usar para se comunicar com a VPC. AWS service (Serviço da AWS)

O nome DNS regional para seu endpoint da VPC de interface tem a seguinte sintaxe:


endpoint_id.service_id.region.vpce.amazonaws.com

Os nomes DNS zonais apresentam a seguinte sintaxe:


endpoint_id-az_name.service_id.region.vpce.amazonaws.com

Ao criar uma interface VPC endpoint para um AWS service (Serviço da AWS), você pode habilitar o DNS privado. Com o DNS privado, você pode continuar fazendo solicitações a um serviço usando o nome de DNS de seu endpoint público enquanto utiliza a conectividade privada por meio do endpoint da VPC da interface. Para ter mais informações, consulte Resolução do DNS.

O seguinte comando describe-vpc-endpoints exibe as entradas DNS para um endpoint da interface.


aws ec2 describe-vpc-endpoints --vpc-endpoint-id vpce-099deb00b40f00e22 --query VpcEndpoints[*].DnsEntries

Veja a seguir um exemplo de saída para um endpoint de interface para a Amazon CloudWatch com nomes DNS privados habilitados. A primeira entrada é o endpoint regional privado. As três entradas seguintes são os endpoints zonais privados. A entrada final é da zona hospedada privada oculta, que resolve solicitações para o endpoint público para os endereços IP privados das interfaces de rede do endpoint.


[
    [
        {
            "DnsName": "vpce-099deb00b40f00e22-lj2wisx3.monitoring.us-east-2.vpce.amazonaws.com",
            "HostedZoneId": "ZC8PG0KIFKBRI"
        },
        {
            "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2c.monitoring.us-east-2.vpce.amazonaws.com",
            "HostedZoneId": "ZC8PG0KIFKBRI"
        },
        {
            "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2a.monitoring.us-east-2.vpce.amazonaws.com",
            "HostedZoneId": "ZC8PG0KIFKBRI"
        },
        {
            "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2b.monitoring.us-east-2.vpce.amazonaws.com",
            "HostedZoneId": "ZC8PG0KIFKBRI"
        },
        {
            "DnsName": "monitoring.us-east-2.amazonaws.com",
            "HostedZoneId": "Z06320943MMOWYG6MAVL9"
        }
    ]
]

Resolução do DNS

Os registros DNS que criamos para o endpoint da VPC de interface são públicos. Logo, esses nomes DNS podem ser resolvidos publicamente. Porém, as solicitações de DNS de fora da VPC ainda retornam os endereços IP privados das interfaces de rede do endpoint. Portanto, esses endereços IP não podem ser usados para acessar o serviço de endpoint, a menos que você tenha acesso à VPC.

DNS privado

Se você habilitar o DNS privado para sua interface VPC endpoint e sua VPC tiver nomes de host DNS e resolução de DNS ativados, criaremos uma zona hospedada privada gerenciada e oculta para você. AWS A zona hospedada contém um conjunto de registros para o nome do DNS padrão do serviço que é resolvido para os endereços IP privados das interfaces de rede do endpoint na VPC. Portanto, se você tiver aplicativos existentes que enviam solicitações para o AWS service (Serviço da AWS) usando um endpoint regional público, essas solicitações agora passam pelas interfaces de rede do endpoint, sem exigir que você faça alterações nesses aplicativos.

Recomendamos que você habilite nomes DNS privados para seus VPC endpoints para. Serviços da AWS Isso garante que as solicitações que usam os endpoints de serviço público, como solicitações feitas por meio de um AWS SDK, cheguem ao seu VPC endpoint.

A Amazon fornece um servidor de DNS à VPC, o Route 53 Resolver. O Route 53 Resolver resolve automaticamente nomes de domínio de VPC locais e os registra em zonas hospedadas privadas. No entanto, não é possível usar o Route 53 Resolver de fora da sua VPC. Se desejar acessar seu endpoint da VPC por sua rede on-premises, use endpoints do Route 53 Resolver e regras do Resolver. Para obter mais informações, consulte Integração AWS Transit Gateway com AWS PrivateLink e. Amazon Route 53 Resolver

Zonas de disponibilidade e sub-redes

Você pode configurar um endpoint da VPC com uma sub-rede por zona de disponibilidade. Criamos uma interface de rede do endpoint para o endpoint da VPC na sub-rede. Atribuímos endereços IP a cada interface de rede de endpoint a partir de sua sub-rede, com base no tipo de endereço IP do endpoint da VPC. Os endereços IP de uma interface de rede de endpoint não mudarão durante a vida útil de seu endpoint da VPC.

Em um ambiente de produção, para alta disponibilidade e resiliência, recomendamos o seguinte:

Configure pelo menos duas zonas de disponibilidade por VPC endpoint e implante seus AWS recursos que devem ser acessados AWS service (Serviço da AWS) nessas zonas de disponibilidade.
Configure nomes DNS privados para o endpoint da VPC.
Acesse o AWS service (Serviço da AWS) usando seu nome DNS regional, também conhecido como endpoint público.

O diagrama a seguir mostra um VPC endpoint para a Amazon CloudWatch com uma interface de rede de endpoint em uma única zona de disponibilidade. Quando qualquer recurso em qualquer sub-rede na VPC acessa a CloudWatch Amazon usando seu endpoint público, resolvemos o tráfego para o endereço IP da interface de rede do endpoint. Isso inclui tráfego de sub-redes em outras zonas de disponibilidade. No entanto, se a Zona de Disponibilidade 1 for prejudicada, os recursos na Zona de Disponibilidade 2 perderão o acesso à Amazon CloudWatch.

Uma interface VPC endpoint para Amazon CloudWatch habilitada para uma única zona de disponibilidade.

O diagrama a seguir mostra um VPC endpoint para a Amazon CloudWatch com interfaces de rede de endpoint em duas zonas de disponibilidade. Quando qualquer recurso em qualquer sub-rede na VPC acessa a CloudWatch Amazon usando seu endpoint público, selecionamos uma interface de rede de endpoint saudável, usando o algoritmo round robin para alternar entre eles. Em seguida, resolvemos o tráfego para o endereço IP da interface de rede do endpoint selecionada.

Uma interface VPC endpoint para Amazon CloudWatch habilitada para várias zonas de disponibilidade.

Se for melhor para seu caso de uso, você poderá enviar tráfego de seus recursos para o AWS service (Serviço da AWS) usando a interface de rede do endpoint na mesma zona de disponibilidade. Para fazer isso, use o endpoint zonal privado ou o endereço IP da interface de rede do endpoint.

Um endpoint VPC de interface com tráfego usando os endpoints zonais privados.

Tipos de endereço IP

Serviços da AWS podem oferecer suporte a IPv6 por meio de seus endpoints privados, mesmo que não suportem IPv6 por meio de seus endpoints públicos. Os endpoints que oferecem suporte a IPv6 podem responder a consultas de DNS com registros AAAA.

Requisitos para habilitar IPv6 para um endpoint de interface

Eles AWS service (Serviço da AWS) devem disponibilizar seus endpoints de serviço via IPv6. Para ter mais informações, consulte Visualizar suporte a IPv6.
O tipo de endereço IP de um endpoint da interface deve ser compatível com as sub-redes do endpoint da interface, conforme descrito aqui:
- IPv4: atribua endereços IPv4 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas tiverem intervalos de endereços IPv4.
- IPv6: atribua endereços IPv6 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas forem sub-redes IPv6 apenas.
- Dualstack: atribua endereços IPv4 e IPv6 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas tiverem intervalos de endereços IPv4 e IPv6.

Se um endpoint da VPC de interface for compatível com IPv4, as interfaces de rede do endpoint terão endereços IPv4. Se um endpoint da VPC de interface for compatível com IPv6, as interfaces de rede do endpoint terão endereços IPv6. Não é possível acessar o endereço IPv6 de uma interface de rede de endpoint pela Internet. Se você descrever uma interface de rede de endpoint com um endereço IPv6, observe que denyAllIgwTraffic está habilitado.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Conceitos básicos

Serviços que se integram