VPC 資源的資源組態 - Amazon VPC Lattice
資源組態的類型資源閘道資源定義通訊協定連接埠範圍存取 資源與服務網路類型的關聯服務網路的類型透過 共用資源組態 AWS RAM監控

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VPC 資源的資源組態

資源組態代表您要讓其他 VPCs和帳戶中的用戶端存取的資源或資源群組。透過定義資源組態,您可以從其他 VPC 和帳戶中的用戶端,允許私有、安全、單向網路連線至 VPCs中的資源。資源組態與其接收流量的資源閘道相關聯。若要從另一個 VPC 存取資源,它需要有資源組態。

目錄

資源組態的類型

資源組態可以有數種類型。不同類型的協助代表不同類型的資源。類型為:

  • 單一資源組態:代表 IP 地址或網域名稱。可以獨立共用。

  • 群組資源組態:它是子資源組態的集合。它可用來代表一組 DNS 和 IP 地址端點。

  • 子資源組態:它是群組資源組態的成員。它代表 IP 地址或網域名稱。無法獨立共用,只能做為群組的一部分共用。可以從群組新增和移除。新增時,其會自動供可存取 群組的人員存取。

  • ARN 資源組態:代表由 AWS 服務佈建的支援資源類型。任何群組-子關係都會自動處理。

下圖顯示單一、子和群組資源組態:

單一、子和群組資源組態。

資源閘道

資源組態與資源閘道相關聯。資源閘道是一組 ENIs,可做為資源所在的 VPC 傳入點。多個資源組態可以與相同的資源閘道相關聯。當其他 VPCs或帳戶中的用戶端存取 VPC 中的資源時,資源會看到來自該 VPC 中資源閘道 IP 地址的本機流量。

資源定義

在資源組態中,以下列其中一種方式識別資源:

  • 透過 Amazon Resource Name (ARN):由 AWS 服務佈建的支援資源類型,例如 Amazon RDS 資料庫,可由其 ARN 識別。

  • 網域名稱目標:您可以使用任何可公開解析的網域名稱。如果您的網域名稱指向 VPC 外部的 IP,則必須在 VPC 中具有 NAT 閘道。

  • IP 地址:針對 IPv4,從下列範圍指定私有 IP:10.0.0.0/8、100.64.0.0/10、172.16.0.0/12、192.168.0.0/16。針對 IPv6,從 VPC 指定 IP。不支援公IPs。

通訊協定

當您建立資源組態時,您可以定義資源將支援的通訊協定。目前僅支援 TCP 通訊協定。

連接埠範圍

當您建立資源組態時,您可以定義連接埠,其將接受請求。不允許在其他連接埠上存取用戶端。

存取 資源

消費者可以使用 VPC 端點或透過服務網路,直接從其 VPC 存取資源組態。身為消費者,您可以從 VPC 存取您帳戶中的資源組態,或是透過其他帳戶與您共用的資源組態 AWS RAM。

  • 直接存取資源組態

    您可以在 AWS PrivateLink VPC 中建立類型資源的 VPC 端點 (資源端點),以從 VPC 私下存取資源組態。如需如何建立資源端點的詳細資訊,請參閱 AWS PrivateLink使用者指南中的存取 VPC 資源

  • 透過服務網路存取資源組態

    您可以將資源組態與服務網路建立關聯,並將 VPC 連接到服務網路。您可以透過 關聯或使用服務網路 VPC 端點,將 VPC 連線到 AWS PrivateLink 服務網路。

    如需服務網路關聯的詳細資訊,請參閱管理 VPC Lattice 服務網路的關聯

    如需服務網路 VPC 端點的詳細資訊,請參閱 AWS PrivateLink 使用者指南中的存取服務網路

與服務網路類型的關聯

當您與取用者帳戶共用資源組態時,例如 Account-B,透過 AWS RAM,Account-B 可以直接透過資源 VPC 端點或透過服務網路存取資源組態。

若要透過服務網路存取資源組態,Account-B 必須將資源組態與服務網路建立關聯。服務網路可在帳戶之間共用。因此,Account-B 可以與 Account-C 共用其服務網路 (與資源組態相關聯),讓您的資源可從 Account-C 存取。

為了防止這類暫時性共用,您可以指定資源組態無法新增至可在帳戶之間共用的服務網路。如果您指定此選項,則 Account-B 將無法將您的資源組態新增至服務網路,而這些網路是共用的,或是未來可以與其他帳戶共用的。

服務網路的類型

當您與另一個帳戶共用資源組態時,例如 Account-B,透過 AWS RAM,Account-B 可以透過以下三種方式之一存取資源組態中指定的資源:

  • 使用類型資源的 VPC 端點 (資源 VPC 端點)。

  • 使用類型為服務網路的 VPC 端點 (服務網路 VPC 端點)。

  • 使用服務網路 VPC 關聯。

對於服務網路 VPC 端點和服務網路 VPC 關聯,資源組態必須與 Account-B 中的服務網路相關聯。 服務網路可在帳戶之間共用。因此,Account-B 可以與 Account-C 共用其服務網路 (包含資源組態),讓您的資源可從 Account-C 存取。 為了防止這類暫時性共用,您可以不允許將資源組態新增至可在帳戶之間共用的服務網路。如果您不允許,則 Account-B 將無法將資源組態新增至共用或可以與其他帳戶共用的服務網路。

透過 共用資源組態 AWS RAM

資源組態已與 整合 AWS Resource Access Manager。您可以透過 與其他 帳戶共用資源組態 AWS RAM。當您與 AWS 帳戶共用資源組態時,該帳戶中的用戶端可以私下存取資源。您可以使用 中的資源共用來共用資源組態 AWS RAM。

使用 AWS RAM 主控台來檢視您新增的資源共用、您可以存取的共用資源,以及與您共用資源 AWS 的帳戶。如需詳細資訊,請參閱AWS RAM 《 使用者指南》中的與您共用的資源

若要從與資源組態相同的帳戶中的另一個 VPC 存取資源,您不需要透過 共用資源組態 AWS RAM。

監控

您可以在資源組態上啟用監控日誌。您可以選擇要傳送日誌的目的地。