AWS 服务 使用接口访问 VPC 终端节点 - Amazon Virtual Private Cloud
前提条件创建 VPC 端点共享子网ICMP

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 服务 使用接口访问 VPC 终端节点

您可以创建接口 VPC 终端节点来连接由其提供支持的服务 AWS PrivateLink,包括许多服务 AWS 服务。有关概述,请参阅 AWS PrivateLink 概念AWS 服务 通过以下方式访问 AWS PrivateLink

对于您在 VPC 中指定的每个子网,我们将在子网中创建一个端点网络接口,并为其分配子网地址范围内的私有 IP 地址。端点网络接口是由请求者管理的网络接口;您可以在您的 AWS 账户中查看,但无法自行管理。

您需要根据每小时使用量付费并支付数据处理费用。有关更多信息,请参阅接口端点定价

前提条件

  • 在您的 VPC AWS 服务 中部署用于访问的资源。

  • 若要使用私有 DNS,您必须为 VPC 启用 DNS 主机名和 DNS 解析。有关更多信息,请参阅《Amazon VPC 用户指南》中的查看和更新 DNS 属性

  • 要 IPv6 为接口终端节点启用, AWS 服务 必须支持通过访问 IPv6。有关更多信息,请参阅 IP 地址类型

  • 为端点网络接口创建一个安全组,允许来自 VPC 资源的预期流量。例如,为确保 AWS CLI 可以向发送 HTTPS 请求 AWS 服务,安全组必须允许入站 HTTPS 流量。

  • 如果您的资源位于具有网络 ACL 的子网中,请验证网络 ACL 是否允许 VPC 和端点网络接口中的资源之间的流量。

  • 您的 AWS PrivateLink 资源有配额。有关更多信息,请参阅 AWS PrivateLink 配额

创建 VPC 端点

使用以下过程创建连接到 AWS 服务的接口 VPC 端点。

为创建接口终端节点 AWS 服务

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择端点

  3. 选择 创建端点

  4. 在 “类型” 中,选择AWS 服务

  5. 对于 Service name(服务名称),选择服务。有关更多信息,请参阅 AWS 服务 与之集成 AWS PrivateLink

  6. 对于 VPC,选择您要从中访问 AWS 服务的 VPC。

  7. 如果您在步骤 5 中选择了 Amazon S3 的服务名称,并且想要配置私有 DNS 支持,则请选择其他设置启用 DNS 名称。当您做出此选择时,其还会自动选择仅对入站端点启用私有 DNS。您只能为 Amazon S3 的接口端点配置带有入站解析器端点的私有 DNS。如果您没有 Amazon S3 的网关端点,并且选择仅为入站端点启用私有 DNS,则在尝试执行此过程的最后一步时会收到错误消息。

    如果您在步骤 5 中为除 Amazon S3 之外的所有服务都选择了服务名称,则表明已选择了其他设置启用 DNS 名称。建议您保留默认值。这样可以确保使用公共服务终端节点的请求(例如通过 AWS SDK 发出的请求)解析到您的 VPC 终端节点。

  8. 对于子网,选择要在其中创建端点网络接口的子网。您可以为每个可用区选择一个子网。您无法从同一可用区中选择多个子网。有关更多信息,请参阅 子网和可用区

    默认情况下,我们选择子网 IP 地址范围中的 IP 地址,并将其分配给端点网络接口。要自己选择 IP 地址,请选择 “指定 IP 地址”。请注意,子网 CIDR 块中的前四个 IP 地址和最后一个 IP 地址应保留供内部使用,因此您无法将它们指定用于端点网络接口。

  9. 对于 IP address type(IP 地址类型),可从以下选项中进行选择:

    • IPv4— 为端点网络接口分配 IPv4 地址。仅当所有选定的子网都有 IPv4 地址范围并且服务接受 IPv4 请求时,才支持此选项。

    • IPv6— 为端点网络接口分配 IPv6 地址。仅当所有选定的子网仅为子网并且服务接受 IPv6 IPv6 请求时,才支持此选项。

    • Dualstack — 将 IPv4 和 IPv6 地址分配给端点网络接口。仅当所有选定的子网同时具有 IPv4 和 IPv6 地址范围并且服务同时接受 IPv4 和 IPv6 请求时,才支持此选项。

  10. 对于 Security groups(安全组),选择要与端点网络接口关联的安全组。默认情况下,我们会关联 VPC 的默认安全组。

  11. 对于策略,要允许所有委托人通过接口端点对所有资源进行所有操作,请选择完全访问权限。要限制访问权限,请选择自定义并输入策略。该选项仅在服务支持 VPC 端点策略时可用。有关更多信息,请参阅 端点策略

  12. (可选)若要添加标签,请选择 Add new tag(添加新标签),然后输入该标签的键和值。

  13. 选择创建端点

使用命令行创建接口端点

共享子网

您无法在与您共享的子网中创建、描述、修改或删除 VPC 端点。但是,您可以在与您共享的子网中使用 VPC 端点。

ICMP

接口端点不对 ping 请求做出响应。您可以使用 ncnmap 命令来代替。