使用网关负载均衡器端点访问检查系统 - Amazon Virtual Private Cloud
注意事项先决条件 创建端点配置路由管理标签删除端点

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用网关负载均衡器端点访问检查系统

您可以创建网关负载均衡器端点以连接到由 AWS PrivateLink支持的端点服务

对于您从中指定的每个子网VPC,我们在子网中创建一个终端节点网络接口,并为其分配一个子网地址范围内的私有 IP 地址。终端节点网络接口是请求者管理的网络接口;您可以在自己的网络接口中查看 AWS 账户,但无法自己管理。

您需要根据每小时使用量付费并支付数据处理费用。有关更多信息,请参阅 Gateway Load Balancer 端点定价

注意事项

  • 在服务使用者中,您只能选择一个可用区VPC。此后则无法更改此子网。若要在不同子网中使用网关负载均衡器端点,您必须创建新的网关负载均衡器端点。

  • 您可以为每个服务的每个可用区创建单个网关负载均衡器端点,但必须选择网关负载均衡器支持的可用区。当服务提供商与服务使用者处于不同的账户中时,us-east-1a 等可用区名称可能会映射到每个 AWS 账户中不同的实际可用区。您可以使用 AZ IDs 来始终如一地识别服务的可用区。有关更多信息,请参阅 A mazon EC2 用户指南IDs中的可用区

  • 只有在服务提供商接受连接请求后,您才能使用端点服务。该服务无法VPC通过VPC终端节点向您的资源发起请求。终端节点仅返回对由您的资源发起的流量的响应VPC。

  • 每个可用区的每个网关负载均衡器端点可支持高达 10 Gbps 的带宽并自动纵向扩展到高达 100 Gbps。

  • 如果端点服务与多个网关负载均衡器关联,那么对于某个特定的可用区,网关负载均衡器端点将仅与每个可用区的一个负载均衡器的建立连接。

  • 要将流量保持在同一可用区内,我们建议您在将向其发送流量的每个可用区中创建网关负载均衡器端点。

  • 当流量通过网关负载均衡器端点路由时,即使目标与网络负载均衡器位于同一VPC位置,也不支持网络负载均衡器客户端 IP 保留。

  • 如果应用程序服务器和 Gateway Load Balancer 端点位于同一个子网中,则会针对从应用程序服务器到 Gateway Load Balancer 端点的流量评估NACL规则。

  • 您的 AWS PrivateLink 资源有配额。有关更多信息,请参阅 AWS PrivateLink 配额

先决条件

  • 创建一个服务VPC使用者,在可用区中至少有两个子网供您访问服务。将一个子网用于应用程序服务器,另一个用于网关负载均衡器端点。

  • 要验证终端节点服务支持哪些可用区,请使用控制台或describe-vpc-endpoint-services命令描述终端节点服务。

  • 如果您的资源位于带网络的子网中ACL,请验证该网络是否ACL允许终端节点网络接口与中的资源之间的流量VPC。

创建端点

按照以下步骤,创建可连接到检查系统端点服务的网关负载均衡器端点。

使用控制台创建网关负载均衡器端点

  1. 打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择端点

  3. 选择 Create endpoint(创建端点)。

  4. Service category(服务类别)选项中,选择 Other endpoint services(其他端点服务)。

  5. 对于 Service name,输入服务的名称,然后选择 Verify service(验证服务)。

  6. 对于 VPC,选择要VPC在其中创建端点的。

  7. 对于 Subnets(子网),选择要在其中创建端点的子网。

  8. 对于 IP address type(IP 地址类型),可从以下选项中进行选择:

    • IPv4— 为您的端点网络接口分配IPv4地址。仅当所有选定的子网都有IPv4地址范围时,才支持此选项。

    • IPv6— 为您的端点网络接口分配IPv6地址。仅当所有选定的子网仅为子网时,IPv6才支持此选项。

    • Dualstack — 将IPv4和IPv6地址分配给您的端点网络接口。仅当所有选定的子网同时具有IPv4和IPv6地址范围时,才支持此选项。

  9. (可选)若要添加标签,请选择 Add new tag(添加新标签),然后输入该标签的键和值。

  10. 选择创建端点。初始状态为 pending acceptance

使用命令行创建网关负载均衡器端点。

配置路由

使用以下步骤为服务使用者配置路由表VPC。这使安全设备能够对发往应用程序服务器的入站流量执行安全检查。有关更多信息,请参阅 路由

使用控制台配置路由

  1. 打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Route Tables(路由表)。

  3. 为互联网网关选择路由表,并执行以下操作:

    1. 依次选择 Actions(操作)、Edit routes(编辑路由)。

    2. 如果您支持IPv4,请选择添加路由。在目标中,输入应用程序服务器的子网IPv4CIDR块。对于 “目标”,选择VPC终端节点。

    3. 如果您支持IPv6,请选择添加路由。在目标中,输入应用程序服务器的子网IPv6CIDR块。对于 “目标”,选择VPC终端节点。

    4. 选择 Save changes(保存更改)

  4. 为包含应用程序服务器的子网选择路由表,并执行以下操作:

    1. 依次选择 Actions(操作)、Edit routes(编辑路由)。

    2. 如果您支持IPv4,请选择添加路由。在目标位置字段,输入 0.0.0.0/0。对于 “目标”,选择VPC终端节点。

    3. 如果您支持IPv6,请选择添加路由。在目标位置字段,输入 ::/0。对于 “目标”,选择VPC终端节点。

    4. 选择 Save changes(保存更改)

  5. 为包含网关负载均衡器端点的子网选择路由表,并执行以下操作:

    1. 依次选择 Actions(操作)、Edit routes(编辑路由)。

    2. 如果您支持IPv4,请选择添加路由。在目标位置字段,输入 0.0.0.0/0。在 Target(目标)选项中,选择互联网网关。

    3. 如果您支持IPv6,请选择添加路由。在目标位置字段,输入 ::/0。在 Target(目标)选项中,选择互联网网关。

    4. 选择 Save changes(保存更改)

使用命令行配置路由

管理标签

您可以对网关负载均衡器端点进行标记,以帮助您识别它或根据组织的需要对其进行分类。

使用控制台管理标签

  1. 打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择端点

  3. 选择接口端点。

  4. 依次选择 Actions(操作)、Manage tags(管理标签)。

  5. 若要添加标签,请选择 Add new tag(添加新标签),然后输入标签的键和值。

  6. 若要删除标签,请选择标签的键和值右侧的 Remove(删除)。

  7. 选择 Save(保存)。

使用命令行管理标签

删除网关负载均衡器端点

用完端点后,您可以将其删除。删除网关负载均衡器端点也会删除端点网络接口。如果路由表中存在指向端点的路由,则无法删除网关负载均衡器端点。

删除网关负载均衡器端点

  1. 打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoints(端点)并选择您的端点。

  3. 依次选择 Actions(操作)、Delete Endpoint(删除端点)。

  4. 在确认屏幕中,选择 Yes, Delete(是的,删除)。

删除网关负载均衡器端点