建立由 提供支援的服務 AWS PrivateLink - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立由 提供支援的服務 AWS PrivateLink

您可以建立自己的 服務,由 提供 AWS PrivateLink,稱為端點服務。您是服務提供者,而與您的服務建立連線的 AWS 主體是服務消費者。

端點服務需要 Network Load Balancer 或 Gateway Load Balancer。負載平衡器會收到來自服務消費者的請求,並將它們傳送至您的服務。在這種情況下,您將使用 Network Load Balancer 建立端點服務。如需使用 Gateway Load Balancer 建立端點服務的詳細資訊,請參閱 存取虛擬設備

考量事項

  • 端點服務在您建立該服務的區域中可用。如果您啟用跨區域存取,或者他們使用 VPC 對等互連或傳輸閘道,消費者可以從其他區域存取您的服務。

  • 當服務消費者擷取端點服務的相關資訊時,他們只能看到與服務提供者共同的可用區域。服務提供者與服務消費者處於不同帳戶時,可將區域名稱 (例如 us-east-1a) 對應至每個 AWS 帳戶中的不同實體可用區域。您可以使用 AZ ID 一致地識別服務的可用區域。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的可用區域 IDs

  • 當服務消費者透過介面端點向服務傳送流量時,提供給應用程式的來源 IP 地址為負載平衡器節點的私有 IP 地址,而不是服務消費者的 IP 地址。如果您在負載平衡器上啟用代理通訊協定,則可以從代理通訊協定標頭中取得服務消費者的地址和介面端點的識別碼。如需詳細資訊,請參閱 Network Load Balancer 使用者指南中的 Proxy 通訊協定

  • Network Load Balancer 可以與單一端點服務建立關聯,但端點服務可以與多個 Network Load Balancer 建立關聯。

  • 如果端點服務與多個 Network Load Balancer 相關聯,則每個端點網路介面會與一個負載平衡器相關聯。啟動來自端點網路介面的第一個連線時,我們會隨機選取相同可用區域中的其中一個 Network Load Balancer 作為端點網路介面。來自此端點網路介面的所有後續連線請求都會使用選取的負載平衡器。建議您針對端點服務的所有負載平衡器使用相同的接聽程式和目標群組組態,如此一來,無論選擇哪一個負載平衡器,消費者都能成功使用端點服務。

  • 資源上有配額 AWS PrivateLink 。如需詳細資訊,請參閱AWS PrivateLink 配額

必要條件

  • 在提供服務的每個可用區域中建立至少具有一個子網的端點服務的 VPC。

  • 若要讓服務消費者能夠為您的端點服務建立 IPv6 介面 VPC 端點,VPC 和子網必須具有相關聯的 IPv6 CIDR 區塊。

  • 在您的 VPC 中建立 Network Load Balancer。為每個可用區域選取一個子網,在該子網中服務應可供服務消費者使用。為了實現低延遲和容錯,建議您在該區域的至少兩個可用區域提供您的服務。

  • 如果您的 Network Load Balancer 具有安全群組,則必須允許來自用戶端 IP 地址的傳入流量。或者,您可以關閉流量傳入安全群組規則的評估 AWS PrivateLink。如需詳細資訊,請參閱《Network Load Balancer 使用者指南》中的安全群組

  • 若要讓端點服務能夠接受 IPv6 請求,其 Network Load Balancer 必須使用雙堆疊 IP 地址類型。目標不需要支援 IPv6 流量。如需詳細資訊,請參閱《Network Load Balancer 使用者指南》中的 IP 地址類型

    如果您處理來自代理通訊協定第 2 版標頭的來源 IP 地址,請確認您可處理 IPv6 地址。

  • 在應該提供服務的每個可用區域中啟動執行個體,並向負載平衡器目標群組註冊它們。如果您未在所有啟用的可用區域中啟動執行個體,您可啟用跨區域負載平衡,以支援使用區域 DNS 主機名稱存取服務的服務消費者。當您啟用跨區域負載平衡時,應支付區域資料傳輸費用。如需詳細資訊,請參閱《Network Load Balancer 使用者指南》中的跨區域負載平衡

建立端點服務

使用下列程序,利用 Network Load Balancer 建立端點服務。

使用主控台建立端點服務
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Endpoints Services (端點服務)

  3. 選擇 Create Endpoint Service (建立端點服務)。

  4. 針對 Load balancer type (負載平衡器類型),選擇 Network (網路)。

  5. 針對 Available load balancers (可用的負載平衡器),選取要與端點服務建立關聯的 Network Load Balancer。若要查看為所選負載平衡器啟用的可用區域,請參閱所選負載平衡器的詳細資訊包含可用區域。您的端點服務將可在這些可用區域中使用。

  6. (選用) 若要從託管區域以外的區域提供端點服務,請從服務區域選取區域。如需詳細資訊,請參閱跨區域存取

  7. 對於 Require acceptance for endpoint (要求接受端點),選取 Acceptance required (要求接受),以要求手動接受對端點服務的連線請求。否則,系統會自動接受這些請求。

  8. 針對 Enable private DNS name (啟用私有 DNS 名稱),選取 Associate a private DNS name with the service (將私有 DNS 名稱與服務建立關聯),以關聯服務消費者可用於存取服務的私有 DNS 名稱,然後輸入私有 DNS 名稱。否則,服務消費者可以使用 提供的端點特定 DNS 名稱 AWS。在服務消費者使用私有 DNS 名稱之前,服務提供者必須確認他們擁有該網域。如需詳細資訊,請參閱管理 DNS 名稱

  9. 針對 Supported IP address types (支援的 IP 地址類型),執行下列其中一個操作:

    • 選取 IPv4 - 啟用端點服務以接受 IPv4 請求。

    • 選取 IPv6 - 啟用端點服務以接受 IPv6 請求。

    • 選取 IPv4IPv6 - 啟用端點服務以接受 IPv4 和 IPv6 請求。

  10. (選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。

  11. 選擇 Create (建立)。

若要使用命令列建立端點服務

讓服務消費者可以使用您的端點服務

AWS 主體可以透過建立界面 VPC 端點,私下連接到您的端點服務。服務提供者必須執行下列操作,才能向服務消費者提供服務。

  • 新增允許每個服務消費者連接到端點服務的許可。如需詳細資訊,請參閱管理許可

  • 為服務消費者提供服務名稱和受支援的可用區域,以便他們可以建立介面端點,從而連接到您的服務。如需詳細資訊,請參閱以服務消費者身分連接到端點服務

  • 接受來自服務消費者的端點連線請求。如需詳細資訊,請參閱接受或拒絕連線請求

以服務消費者身分連接到端點服務

服務消費者使用下列程序建立介面端點以連接到您的端點服務。

若要使用主控台建立介面端點
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 選擇建立端點

  4. 針對類型,選擇使用 NLBs和 GWLBs端點服務

  5. 針對服務名稱,輸入服務的名稱 (例如,com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc),然後選擇驗證服務

  6. (選用) 若要連線至端點區域以外區域中可用的端點服務,請選取服務區域啟用跨區域端點,然後選取區域。如需詳細資訊,請參閱跨區域存取

  7. 針對 VPC,選取您要從中存取端點服務的 VPC。

  8. 針對子網路,選取要在其中建立端點網路介面的子網路。

  9. 針對 IP address type (IP 地址類型),從下列選項中選擇:

    • IPv4 – 將 IPv4 地址指派給端點網路介面。只有當所有選取的子網路都具有 IPv4 地址範圍,且端點服務接受 IPv4 請求時,才支援此選項。

    • IPv6 – 將 IPv6 地址指派給端點網路介面。只有當所有選取的子網路都是僅限 IPv6 子網路,且端點服務接受 IPv6 請求時,才支援此選項。

    • Dualstack – 將 IPv4 和 IPv6 地址指派給端點網路介面。只有當所有選取的子網路都具有 IPv4 和 IPv6 地址範圍,且端點服務接受 IPv4 和 IPv6 請求時,才支援此選項。

  10. 針對 DNS record IP type (DNS 記錄 IP 類型),選擇以下其中一個選項:

    • IPv4 - 建立私有名稱、區域名稱和分區 DNS 名稱的 A 記錄。IP 地址類型必須為 IPv4 或者 Dualstack

    • IPv6 - 建立私有名稱、區域名稱和分區 DNS 名稱的 AAAA 記錄。IP 地址類型必須為 IPv6 或者 Dualstack

    • Dualstack - 建立私有名稱、區域名稱和分區 DNS 名稱的 A 和 AAAA 記錄。IP 地址類型必須為 Dualstack

    • Service defined (已定義服務) — 為私有名稱、區域名稱和區域 DNS 名稱建立 A 記錄,為區域名稱和區域 DNS 名稱建立 AAAA 記錄。IP 地址類型必須為 Dualstack

  11. 針對 Security group (安全群組),選取要與端點網路介面建立關聯的安全群組。

  12. 選擇建立端點

使用命令列建立介面端點