Compartilhe seus serviços por meio de AWS PrivateLink - Amazon Virtual Private Cloud
Visão geralNomes de hosts DNSDNS privadoAcesso entre regiõesTipos de endereço IP

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compartilhe seus serviços por meio de AWS PrivateLink

Você pode hospedar seu próprio serviço AWS PrivateLink motorizado, conhecido como serviço de endpoint, e compartilhá-lo com outros AWS clientes.

Conteúdo

Visão geral

O diagrama a seguir mostra como você compartilha seu serviço hospedado AWS com outros AWS clientes e como esses clientes se conectam ao seu serviço. Como provedor de serviços, crie um Network Load Balancer em sua VPC como o front-end do serviço. Em seguida, selecione esse balanceador de carga ao criar a configuração do serviço de endpoint da VPC. Conceda permissão a entidades principais da AWS específicas para que elas possam se conectar ao serviço. Como consumidor do serviço, o cliente cria um endpoint da VPC de interface, que estabelece conexões entre as sub-redes que ele selecionou da VPC e o serviço de endpoint. O balanceador de carga recebe solicitações do consumidor do serviço e as encaminha aos destinos que hospedam o serviço.

Os consumidores de serviço conectam-se a serviços de endpoint hospedados pelos provedores de serviços.

Para garantir baixa latência e alta disponibilidade, recomenda-se disponibilizar o serviço em pelo menos duas zonas de disponibilidade.

Nomes de hosts DNS

Quando um provedor de serviços cria um serviço de endpoint VPC, AWS gera um nome de host DNS específico do endpoint para o serviço. Esses nomes apresentam a seguinte sintaxe:

endpoint_service_id.region.vpce.amazonaws.com

Veja a seguir um exemplo de nome de host de DNS para um serviço de endpoint da VPC na região us-east-2:

vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com

Quando um consumidor do serviço cria um endpoint da VPC de interface, criamos nomes DNS regionais e zonais que o consumidor do serviço pode usar para se comunicar com o serviço de endpoint. Os nomes regionais apresentam a seguinte sintaxe:

endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com

Os nomes zonais apresentam a seguinte sintaxe:

endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com

DNS privado

Um provedor de serviços também pode associar um nome DNS privado ao serviço de endpoint para que os consumidores possam continuar acessando o serviço com o nome DNS existente. Se um provedor de serviços tiver associado um nome de DNS privado ao serviço de endpoint, os consumidores do serviço poderão habilitar nomes de DNS privados para seus endpoints de interface. Se um provedor de serviços não habilitar o DNS privado, talvez os consumidores do serviço precisem atualizar suas aplicações para usar o nome de DNS público para o serviço de endpoint da VPC. Para obter mais informações, consulte Gerenciar nomes DNS.

Acesso entre regiões

Um provedor de serviços pode hospedar um serviço em uma região e disponibilizá-lo em um conjunto de regiões compatíveis. Um consumidor de serviço seleciona uma região de serviço ao criar um endpoint.

Permissões

  • Por padrão, as entidades do IAM não têm permissão para disponibilizar um serviço de endpoint em várias regiões ou acessar um serviço de endpoint em várias regiões. Para conceder as permissões necessárias para o acesso entre regiões, um administrador do IAM pode criar políticas do IAM que permitam a ação somente de vpce:AllowMultiRegion permissão.

  • Para controlar as regiões que uma entidade do IAM pode especificar como uma região compatível ao criar um serviço de endpoint, use a chave de ec2:VpceSupportedRegion condição.

  • Para controlar as regiões que uma entidade do IAM pode especificar como região de serviço ao criar um VPC endpoint, use a ec2:VpceServiceRegion chave de condição.

Considerações

  • Um provedor de serviços deve optar por uma região de aceitação antes de adicioná-la como uma região compatível para um serviço de endpoint.

  • Seu serviço de endpoint deve estar acessível a partir da região anfitriã. Você não pode remover a região anfitriã do conjunto de regiões suportadas. Para redundância, você pode implantar seu serviço de endpoint em várias regiões e habilitar o acesso entre regiões para cada serviço de endpoint.

  • Um consumidor de serviços deve optar por uma região de aceitação antes de selecioná-la como a região de serviço para um endpoint. Sempre que possível, recomendamos que os consumidores de serviços acessem um serviço usando a conectividade intrarregional em vez da conectividade entre regiões. A conectividade intrarregional oferece menor latência e custos mais baixos.

  • Se um provedor de serviços remover uma região do conjunto de regiões suportadas, os consumidores de serviços não poderão selecionar essa região como a região de serviço ao criar novos endpoints. Observe que isso não afeta o acesso ao serviço de endpoint a partir de endpoints existentes que usam essa região como a região de serviço.

  • Para alta disponibilidade, tanto os provedores quanto os consumidores devem usar pelo menos duas zonas de disponibilidade. Observe que o acesso entre regiões não exige que provedores e consumidores usem as mesmas zonas de disponibilidade.

  • Com o acesso entre regiões, AWS PrivateLink gerencia o failover entre as zonas de disponibilidade. Ele não gerencia o failover entre regiões.

  • O acesso entre regiões não é suportado para AWS Marketplace serviços com um nome DNS fácil de usar.

  • O acesso entre regiões não é suportado para balanceadores de carga de rede com um valor personalizado configurado para o tempo limite de inatividade do TCP.

  • O acesso entre regiões não é suportado com a fragmentação UDP.

Tipos de endereço IP

Os provedores de serviços podem disponibilizar seus endpoints de serviço para os consumidores de serviços em IPv4 IPv6, ou em ambos IPv4 IPv6, mesmo que seus servidores de back-end suportem apenas. IPv4 Se você habilitar o suporte dualstack, os consumidores existentes poderão continuar usando IPv4 para acessar seu serviço e os novos consumidores poderão optar por usar IPv6 para acessar seu serviço.

Se houver suporte para uma interface VPC endpoint IPv4, as interfaces de rede de endpoints terão endereços. IPv4 Se houver suporte para uma interface VPC endpoint IPv6, as interfaces de rede de endpoints terão endereços. IPv6 O IPv6 endereço de uma interface de rede de endpoint não pode ser acessado pela Internet. Se você descrever uma interface de rede de endpoint com um IPv6 endereço, observe que ela denyAllIgwTraffic está ativada.

Requisitos IPv6 para habilitar um serviço de endpoint

  • A VPC e as sub-redes do serviço de endpoint devem ter blocos CIDR associados. IPv6

  • Todos os Network Load Balancers do serviço de endpoint devem usar o tipo de endereço IP dualstack. Os alvos não precisam suportar o IPv6 tráfego. Se o serviço processar os endereços IP de origem do cabeçalho da versão 2 do protocolo proxy, ele deverá processar IPv6 os endereços.

Requisitos IPv6 para habilitar um endpoint de interface

  • O serviço de endpoint deve oferecer suporte às IPv6 solicitações.

  • O tipo de endereço IP de um endpoint da interface deve ser compatível com as sub-redes do endpoint da interface, conforme descrito aqui:

    • IPv4— Atribua IPv4 endereços às interfaces de rede do seu terminal. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv4 endereços.

    • IPv6— Atribua IPv6 endereços às interfaces de rede do seu terminal. Essa opção é suportada somente se todas as sub-redes selecionadas forem IPv6 somente sub-redes.

    • Dualstack — atribua IPv6 endereços IPv4 e endereços às interfaces de rede do endpoint. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv6 endereços IPv4 e ambos.

Tipo de endereço IP do registro DNS para um endpoint da interface

O tipo de endereço IP do registro DNS compatível com um endpoint da interface determina os registros DNS que criamos. O tipo de endereço IP do registro DNS de um endpoint de interface deve ser compatível com o tipo de endereço IP do endpoint da interface, conforme descrito aqui:

  • IPv4— Crie registros A para os nomes DNS privados, regionais e zonais. O tipo de endereço IP deve ser IPv4ou Dualstack.

  • IPv6— Crie registros AAAA para os nomes DNS privados, regionais e zonais. O tipo de endereço IP deve ser IPv6ou Dualstack.

  • Dualstack: crie registros A e AAAA para nomes DNS privados, regionais e zonais. O tipo de endereço IP deve ser Dualstack.