使用网关负载均衡器端点访问检查系统
您可以创建网关负载均衡器端点以连接到由 AWS PrivateLink 支持的端点服务。
对于您在 VPC 中指定的每个子网,我们将在子网中创建一个端点网络接口,并为其分配子网地址范围内的私有 IP 地址。端点网络接口是由请求者管理的网络接口;您可以在您的 AWS 账户 中查看,但无法自行管理。
您需要根据每小时使用量付费并支付数据处理费用。有关更多信息,请参阅 Gateway Load Balancer 端点定价
注意事项
-
您只能在服务使用者 VPC 中选择一个可用区。此后则无法更改此子网。若要在不同子网中使用网关负载均衡器端点,您必须创建新的网关负载均衡器端点。
-
您可以为每个服务的每个可用区创建单个网关负载均衡器端点,但必须选择网关负载均衡器支持的可用区。当服务提供商与服务使用者处于不同的账户中时,
us-east-1a等可用区名称可能会映射到每个 AWS 账户 中不同的实际可用区。您可以使用可用区 ID 一致地标识服务的可用区。有关更多信息,请参阅 Amazon EC2 用户指南中的 AZ ID。 -
只有在服务提供商接受连接请求后,您才能使用端点服务。服务无法通过 VPC 端点发起对您的 VPC 中的资源的请求。端点仅返回对由您的 VPC 中的资源启动的流量的响应。
-
每个可用区的每个网关负载均衡器端点可支持高达 10 Gbps 的带宽并自动纵向扩展到高达 100 Gbps。
-
如果端点服务与多个网关负载均衡器关联,那么对于某个特定的可用区,网关负载均衡器端点将仅与每个可用区的一个负载均衡器的建立连接。
-
要将流量保持在同一可用区内,我们建议您在将向其发送流量的每个可用区中创建网关负载均衡器端点。
-
当流量通过网关负载均衡器端点进行路由时,不支持网络负载均衡器客户端 IP 保留,即使目标与网络负载均衡器位于同一 VPC 中亦是如此。
-
如果应用程序服务器和网关负载均衡器端点位于同一个子网中,则 NACL 规则将针对从应用程序服务器到网关负载均衡器端点的流量进行评估。
-
如果您将网关负载均衡器与仅限出口的互联网网关一起使用,则 IPv6 流量将被丢弃。相反,应使用互联网网关和入站防火墙规则。
-
您的 AWS PrivateLink 资源上有配额。有关更多信息,请参阅 AWS PrivateLink 限额。
前提条件
-
在您将从中访问服务的可用区中,创建一个包含至少两个子网的服务使用者 VPC。将一个子网用于应用程序服务器,另一个用于网关负载均衡器端点。
-
若要验证端点服务支持哪些可用区,请使用控制台或 describe-vpc-endpoint-services 命令描述端点服务。
-
如果您的资源位于具有网络 ACL 的子网中,请验证网络 ACL 是否允许端点网络接口与 VPC 中的资源之间的流量。
创建端点
按照以下步骤,创建可连接到检查系统端点服务的网关负载均衡器端点。
使用控制台创建网关负载均衡器端点
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Endpoints(端点)。
-
选择 Create endpoint(创建端点)。
-
在 Service category(服务类别)选项中,选择 Other endpoint services(其他端点服务)。
-
对于 Service name,输入服务的名称,然后选择 Verify service(验证服务)。
-
在 VPC 选项中,选择要创建端点的 VPC。
-
对于 Subnets(子网),选择要在其中创建端点的子网。
-
对于 IP address type(IP 地址类型),可从以下选项中进行选择:
-
IPv4 – 将 IPv4 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 地址范围时,才支持此选项。
-
IPv6 – 将 IPv6 地址分配给端点网络接口。仅当所有选定子网均为仅限 IPv6 的子网时,才支持此选项。
-
Dualstack(双堆栈)– 将 IPv4 和 IPv6 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 和 IPv6 地址范围时,才支持此选项。
-
-
(可选)若要添加标签,请选择 Add new tag(添加新标签),然后输入该标签的键和值。
-
选择 Create endpoint(创建端点)。初始状态为
pending acceptance。
使用命令行创建网关负载均衡器端点。
-
create-vpc-endpoint (AWS CLI)
-
New-EC2VpcEndpoint (Tools for Windows PowerShell)
配置路由
按照以下过程为服务使用者 VPC 配置路由表。这使安全设备能够对发往应用程序服务器的入站流量执行安全检查。有关更多信息,请参阅 路由。
使用控制台配置路由
-
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Route Tables(路由表)。
-
为互联网网关选择路由表,并执行以下操作:
-
依次选择 Actions(操作)、Edit routes(编辑路由)。
-
如果您支持 IPv4,请选择 Add route(添加路由)。对于 Destination(目标),输入应用程序服务器子网的 IPv4 CIDR 块。在 Target(目标)选项中,选择 VPC 端点。
-
如果您支持 IPv6,请选择 Add route(添加路由)。对于 Destination(目标),输入应用程序服务器子网的 IPv6 CIDR 块。在 Target(目标)选项中,选择 VPC 端点。
-
选择 Save changes(保存更改)。
-
-
为包含应用程序服务器的子网选择路由表,并执行以下操作:
-
依次选择 Actions(操作)、Edit routes(编辑路由)。
-
如果您支持 IPv4,请选择 Add route(添加路由)。在 Destination(目标位置)字段,输入
0.0.0.0/0。在 Target(目标)选项中,选择 VPC 端点。 -
如果您支持 IPv6,请选择 Add route(添加路由)。在 Destination(目标位置)字段,输入
::/0。在 Target(目标)选项中,选择 VPC 端点。 -
选择 Save changes(保存更改)。
-
-
为包含网关负载均衡器端点的子网选择路由表,并执行以下操作:
-
依次选择 Actions(操作)、Edit routes(编辑路由)。
-
如果您支持 IPv4,请选择 Add route(添加路由)。在 Destination(目标位置)字段,输入
0.0.0.0/0。在 Target(目标)选项中,选择互联网网关。 -
如果您支持 IPv6,请选择 Add route(添加路由)。在 Destination(目标位置)字段,输入
::/0。在 Target(目标)选项中,选择互联网网关。 -
选择 Save changes(保存更改)。
-
使用命令行配置路由
-
create-route (AWS CLI)
-
New-EC2Route (Tools for Windows PowerShell)
管理标签
您可以对网关负载均衡器端点进行标记,以帮助您识别它或根据组织的需要对其进行分类。
使用控制台管理标签
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Endpoints(端点)。
-
选择接口端点。
-
依次选择 Actions(操作)、Manage tags(管理标签)。
-
若要添加标签,请选择 Add new tag(添加新标签),然后输入标签的键和值。
-
若要删除标签,请选择标签的键和值右侧的 Remove(删除)。
-
选择 Save(保存)。
使用命令行管理标签
-
create-tags 和 delete-tags (AWS CLI)
-
New-EC2Tag 和 Remove-EC2Tag (Tools for Windows PowerShell)
删除网关负载均衡器端点
用完端点后,您可以将其删除。删除网关负载均衡器端点也会删除端点网络接口。如果路由表中存在指向端点的路由,则无法删除网关负载均衡器端点。
删除网关负载均衡器端点
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Endpoints(端点)并选择您的端点。
-
依次选择 Actions(操作)、Delete Endpoint(删除端点)。
-
在确认屏幕中,选择 Yes, Delete(是的,删除)。
删除网关负载均衡器端点
-
delete-vpc-endpoints (AWS CLI)
-
Remove-EC2VpcEndpoint (AWS Tools for Windows PowerShell)
