通过 AWS PrivateLink 共享您的服务
您可以托管您自己的由 AWS PrivateLink 提供支持的服务(称为端点服务),并与其他 AWS 客户共享。
概述
下图说明了如何与其他 AWS 客户共享在 AWS 中托管的服务,以及这些客户如何连接到您的服务。作为服务提供商,您可在 VPC 中创建网络负载均衡器作为服务前端。然后,您可在创建 VPC 端点服务配置时选择此负载均衡器。您可向特定 AWS 主体授予权限,以便它们可以连接到您的服务。作为服务使用者,客户可创建接口 VPC 端点,该端点会在他们从其 VPC 中选择的子网和您的端点服务之间建立连接。负载均衡器接收来自服务使用者的请求并将请求路由到托管您服务的目标。
为实现低延迟和高可用性,建议您在至少两个可用区中提供服务。
DNS 主机名
当服务提供商创建 VPC 端点服务时,AWS 会为该服务生成一个特定于端点的 DNS 主机名。这些名称的语法如下:
endpoint_service_id.region.vpce.amazonaws.com以下是 us-east-2 区域中 VPC 端点服务的 DNS 主机名示例:
vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com当服务使用者创建接口 VPC 端点时,我们会创建区域和分区 DNS 名称,供服务使用者用于与端点服务进行通信。区域名称的语法如下:
endpoint_id.endpoint_service_id.region.vpce.amazonaws.com分区名称的语法如下:
endpoint_id-zone.endpoint_service_id.region.vpce.amazonaws.com私有 DNS
服务提供商还可为其端点服务关联私有 DNS 名称,以便服务使用者继续使用其现有的 DNS 名称访问该服务。如果服务提供商将私有 DNS 名称与其端点服务相关联,则服务使用者可以为其接口端点启用私有 DNS 名称。如果服务提供商未启用私有 DNS,则服务使用者可能需要更新其应用程序,以使用 VPC 端点服务的公有 DNS 名称。有关更多信息,请参阅 管理 DNS 名称。
IP 地址类型
服务提供商可通过 IPv4、IPv6 或 IPv4 和 IPv6 向服务使用者提供其服务端点,即使其后端服务器仅支持 IPv4。如果您启用双堆栈支持,则现有使用者可继续使用 IPv4 访问您的服务,并且新的使用者可选择使用 IPv6 访问您的服务。
如果接口 VPC 端点支持 IPv4,则端点网络接口具有 IPv4 地址。如果接口 VPC 端点支持 IPv6,则端点网络接口具有 IPv6 地址。无法从互联网访问端点网络接口的 IPv6 地址。如果您使用 IPv6 地址描述端点网络接口,请注意已启用 denyAllIgwTraffic。
为端点服务启用 IPv6 的要求
-
端点服务的 VPC 和子网必须具有关联的 IPv6 CIDR 块。
-
端点服务的所有网络负载均衡器必须使用双堆栈 IP 地址类型。目标无需支持 IPv6 流量。如果该服务处理来自代理协议版本 2 标头的源 IP 地址,则它必须处理 IPv6 地址。
为接口端点启用 IPv6 的要求
-
端点服务必须支持 IPv6 请求。
-
接口端点的 IP 地址类型必须与接口端点的子网兼容,如下所述:
-
IPv4 – 将 IPv4 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 地址范围时,才支持此选项。
-
IPv6 – 将 IPv6 地址分配给端点网络接口。仅当所有选定子网均为仅限 IPv6 的子网时,才支持此选项。
-
Dualstack(双堆栈)– 将 IPv4 和 IPv6 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 和 IPv6 地址范围时,才支持此选项。
-
接口端点的 DNS 记录 IP 地址类型
接口端点支持的 DNS 记录 IP 地址类型决定了我们创建的 DNS 记录。接口端点的 DNS 记录 IP 地址类型必须与接口端点的 IP 地址类型兼容,如下所述:
-
IPv4 – 为私有、区域和分区 DNS 名称创建 A 记录。IP 地址类型必须为 IPv4 或 Dualstack(双堆栈)。
-
IPv6 – 为私有、区域和分区 DNS 名称创建 AAAA 记录。IP 地址类型必须为 IPv6 或 Dualstack(双堆栈)。
-
Dualstack(双堆栈)– 为私有、区域和分区 DNS 名称创建 A 和 AAAA 记录。IP 地址类型必须为 Dualstack(双堆栈)。
