通过以下方式访问虚拟设备 AWS PrivateLink - Amazon Virtual Private Cloud
概览IP 地址类型路由

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过以下方式访问虚拟设备 AWS PrivateLink

您可以使用网关负载均衡器将流量分配到网络虚拟设备队列。这些设备可用于安全检查、合规性、策略控制和其他网络服务。您可以在创建 VPC 端点服务时指定网关负载均衡器。其他 AWS 主体通过创建网关负载均衡器端点访问端点服务。

定价

按照您的网关负载均衡器端点在每个可用区预置的每一小时向您收取费用。此外,您还需按照处理的数据 GB 付费。有关更多信息,请参阅AWS PrivateLink 定价

内容

有关更多信息,请参阅网关负载均衡器

概览

下图显示了应用程序服务器如何通过访问安全设备 AWS PrivateLink。应用程序服务器在服务使用者 VPC 的子网中运行。您在同一 VPC 的另一个子网中创建网关负载均衡器端点。通过互联网网关进入服务使用者 VPC 的所有流量首先会路由到网关负载均衡器端点,以便进行检查,然后再路由到目标子网。同样,离开应用程序服务器的所有流量会被路由到网关负载均衡器端点以进行检查,然后通过互联网网关被路由回应用程序服务器。

使用网关负载均衡器端点访问安全设备。
从互联网到应用程序服务器的流量(蓝色箭头):

  1. 流量通过互联网网关进入服务使用者 VPC。

  2. 根据路由表配置,将流量发送到网关负载均衡器端点。

  3. 通过安全设备,将流量发送到网关负载均衡器以进行检查。

  4. 检查完成后,将流量发送回网关负载均衡器端点。

  5. 根据路由表配置,将流量发送到应用程序服务器。

从应用程序服务器到互联网的流量(橙色箭头):

  1. 根据路由表配置,将流量发送到网关负载均衡器端点。

  2. 通过安全设备,将流量发送到网关负载均衡器以进行检查。

  3. 检查完成后,将流量发送回网关负载均衡器端点。

  4. 根据路由表配置,将流量发送到互联网网关。

  5. 流量被路由回互联网。

IP 地址类型

服务提供商可以通过 IPv4、 IPv6或两 IPv4 者兼而有之地将其服务端点提供给服务使用者 IPv6,即使他们的安全设备仅支持 IPv4。如果您启用双栈支持,则现有消费者可以继续使用 IPv4 来访问您的服务,而新的消费者可以选择使用 IPv6 来访问您的服务。

如果 Gateway Load Balancer 端点支持 IPv4,则端点网络接口具有 IPv4 地址。如果 Gateway Load Balancer 端点支持 IPv6,则端点网络接口具有 IPv6 地址。无法通过互联网访问端点网络接口 IPv6 的地址。如果您使用 IPv6 地址描述端点网络接口,请注意该接口已启denyAllIgwTraffic用。

IPv6 为终端节点服务启用的要求

  • 终端节点服务的 VPC 和子网必须具有关联的 IPv6 CIDR 块。

  • 端点服务的所有网关负载均衡器必须使用双堆栈 IP 地址类型。安全设备不需要支持 IPv6 流量。

为 Gateway L IPv6 oad Balancer 终端节点启用的要求

  • 终端节点服务的 IP 地址类型必须包含 IPv6 支持。

  • 网关负载均衡器端点的 IP 地址类型必须与网关负载均衡器端点的子网兼容,如下所述:

    • IPv4— 为您的端点网络接口分配 IPv4 地址。仅当所有选定的子网都有 IPv4 地址范围时,才支持此选项。

    • IPv6— 为您的端点网络接口分配 IPv6 地址。仅当所有选定的子网仅为子网时, IPv6 才支持此选项。

    • Dualstack — 将 IPv4 和 IPv6 地址分配给您的端点网络接口。仅当所有选定的子网同时具有 IPv4 和 IPv6 地址范围时,才支持此选项。

  • 服务使用者 VPC 中子网的路由表必须路由 IPv6 流量,并且这些子网 ACLs 的网络必须允许 IPv6 流量。

路由

若要将流量路由到端点服务,请使用其 ID 将网关负载均衡器端点指定为路由表中的目标。在上图中,将路由添加到路由表,如下所示。请注意,双栈配置中包含 IPv6 路由。

互联网网关的路由表

此路由表必须具有将发往应用程序服务器的流量发送到网关负载均衡器端点的路由。

目标位置 目标
VPC IPv4 CIDR 本地
VPC IPv6 CIDR 本地
Application subnet IPv4 CIDR vpc-endpoint-id
Application subnet IPv6 CIDR vpc-endpoint-id
包含应用程序服务器的子网的路由表

此路由表必须具有将来自应用程序服务器的所有流量发送到网关负载均衡器端点的路由。

目标位置 目标
VPC IPv4 CIDR 本地
VPC IPv6 CIDR 本地
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id
包含网关负载均衡器端点的子网的路由表

此路由表必须将从检查返回的流量发送到最终目标位置。如果流量来自互联网,本地路由会将流量发送到应用程序服务器。如果流量来自应用程序服务器,则添加将所有流量发送到互联网网关的路由。

目标位置 目标
VPC IPv4 CIDR 本地
VPC IPv6 CIDR 本地
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id