建立 支援的 服務 AWS PrivateLink - Amazon Virtual Private Cloud
考量事項必要條件建立端點服務讓服務消費者可以使用您的端點服務以服務消費者身分連接到端點服務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 支援的 服務 AWS PrivateLink

您可以建立自己的 服務 AWS PrivateLink,由 提供,稱為端點服務。您是服務提供者,而與您的服務建立連線的 AWS 主體是服務消費者。

端點服務需要 Network Load Balancer 或 Gateway Load Balancer。負載平衡器會收到來自服務消費者的請求,並將它們傳送至您的服務。在這種情況下,您將使用 Network Load Balancer 建立端點服務。如需使用 Gateway Load Balancer 建立端點服務的詳細資訊,請參閱 存取虛擬設備

考量事項

  • 端點服務在您建立該服務的區域中可用。如果您啟用跨區域存取,或者他們使用對等或傳輸閘道,消費者可以從其他區域存取您的服務。 VPC

  • 當服務消費者擷取端點服務的相關資訊時,他們只能看到與服務提供者共同的可用區域。服務提供者與服務消費者處於不同帳戶時,可將區域名稱 (例如 us-east-1a) 對應至每個 AWS 帳戶中的不同實體可用區域。您可以使用 AZ IDs 來持續識別服務的可用區域。如需詳細資訊,請參閱《Amazon EC2使用者指南》中的 AZIDs

  • 當服務消費者透過介面端點向服務傳送流量時,提供給應用程式的來源 IP 地址為負載平衡器節點的私有 IP 地址,而不是服務消費者的 IP 地址。如果您在負載平衡器上啟用代理通訊協定,您可以從代理通訊協定標頭取得服務消費者的地址和介面端點IDs的地址。如需詳細資訊,請參閱 Network Load Balancer 使用者指南中的 Proxy 通訊協定

  • Network Load Balancer 可以與單一端點服務建立關聯,但端點服務可以與多個 Network Load Balancer 建立關聯。

  • 如果端點服務與多個 Network Load Balancer 相關聯,則每個端點網路介面會與一個負載平衡器相關聯。啟動來自端點網路介面的第一個連線時,我們會隨機選取相同可用區域中的其中一個 Network Load Balancer 作為端點網路介面。來自此端點網路介面的所有後續連線請求都會使用選取的負載平衡器。建議您針對端點服務的所有負載平衡器使用相同的接聽程式和目標群組組態,如此一來,無論選擇哪一個負載平衡器,消費者都能成功使用端點服務。

  • 資源上有配額 AWS PrivateLink 。如需詳細資訊,請參閱AWS PrivateLink 配額

必要條件

  • VPC 為您的端點服務建立 ,在應該提供服務的每個可用區域中至少有一個子網路。

  • 若要讓服務消費者為您的VPC端點服務建立IPv6介面端點, VPC和 子網路必須具有相關聯的IPv6CIDR區塊。

  • 在 中建立 Network Load BalancerVPC。為每個可用區域選取一個子網,在該子網中服務應可供服務消費者使用。為了實現低延遲和容錯,建議您在該區域的至少兩個可用區域提供您的服務。

  • 如果您的 Network Load Balancer 具有安全群組,則必須允許來自用戶端 IP 地址的傳入流量。或者,您可以關閉流量通過的傳入安全群組規則評估 AWS PrivateLink。如需詳細資訊,請參閱《Network Load Balancer 使用者指南》中的安全群組

  • 若要讓您的端點服務接受IPv6請求,其 Network Load Balancer 必須使用雙堆疊 IP 地址類型。目標不需要支援IPv6流量。如需詳細資訊,請參閱《Network Load Balancer 使用者指南》中的 IP 地址類型

    如果您處理代理通訊協定第 2 版標頭的來源 IP 地址,請確認您可以處理IPv6地址。

  • 在應該提供服務的每個可用區域中啟動執行個體,並向負載平衡器目標群組註冊它們。如果您未在所有啟用的可用區域中啟動執行個體,您可以啟用跨區域負載平衡,以支援使用區域DNS主機名稱存取服務的服務消費者。當您啟用跨區域負載平衡時,應支付區域資料傳輸費用。如需詳細資訊,請參閱《Network Load Balancer 使用者指南》中的跨區域負載平衡

建立端點服務

使用下列程序,利用 Network Load Balancer 建立端點服務。

使用主控台建立端點服務

  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇 Endpoints Services (端點服務)

  3. 選擇 Create Endpoint Service (建立端點服務)。

  4. 針對 Load balancer type (負載平衡器類型),選擇 Network (網路)。

  5. 針對 Available load balancers (可用的負載平衡器),選取要與端點服務建立關聯的 Network Load Balancer。若要查看針對您選取的負載平衡器啟用的可用區域,請參閱所選負載平衡器的詳細資訊包含可用區域。您的端點服務將可在這些可用區域中使用。

  6. (選用) 若要從託管區域以外的區域提供端點服務,請從服務區域選取區域。如需詳細資訊,請參閱跨區域存取

  7. 對於 Require acceptance for endpoint (要求接受端點),選取 Acceptance required (要求接受),以要求手動接受對端點服務的連線請求。否則,系統會自動接受這些請求。

  8. 針對啟用私有DNS名稱,選取將私有DNS名稱與服務建立關聯,以建立服務消費者可用來存取服務的私有DNS名稱關聯,然後輸入私有DNS名稱。否則,服務消費者可以使用 提供的端點特定DNS名稱 AWS。服務消費者可以使用私有DNS名稱之前,服務供應商必須驗證他們擁有網域。如需詳細資訊,請參閱管理DNS名稱

  9. 針對 Supported IP address types (支援的 IP 地址類型),執行下列其中一個操作:

    • 選取 IPv4 – 啟用端點服務以接受IPv4請求。

    • 選取 IPv6 – 啟用端點服務以接受IPv6請求。

    • 選取 IPv4IPv6 – 啟用端點服務以接受 IPv4和 IPv6請求。

  10. (選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。

  11. 選擇 Create (建立)。

若要使用命令列建立端點服務

讓服務消費者可以使用您的端點服務

AWS 委託人可以透過建立介面端點,私下連接到您的VPC端點服務。服務提供者必須執行下列操作,才能向服務消費者提供服務。

  • 新增允許每個服務消費者連接到端點服務的許可。如需詳細資訊,請參閱管理許可

  • 為服務消費者提供服務名稱和受支援的可用區域,以便他們可以建立介面端點,從而連接到您的服務。如需詳細資訊,請參閱以服務消費者身分連接到端點服務

  • 接受來自服務消費者的端點連線請求。如需詳細資訊,請參閱接受或拒絕連線請求

以服務消費者身分連接到端點服務

服務消費者使用下列程序建立介面端點以連接到您的端點服務。

若要使用主控台建立介面端點

  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中選擇端點

  3. 選擇建立端點

  4. 針對類型,選擇使用 NLBs和 的端點服務GWLBs

  5. 針對服務名稱,輸入服務的名稱 (例如,com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc),然後選擇驗證服務

  6. (選用) 若要連線至端點區域以外區域中可用的端點服務,請選取服務區域啟用跨區域端點,然後選取區域。如需詳細資訊,請參閱跨區域存取

  7. 針對 VPC,選取您要VPC從中存取端點服務的 。

  8. 針對子網路,選取要建立端點網路介面的子網路。

  9. 針對 IP address type (IP 地址類型),從下列選項中選擇:

    • IPv4 – 將IPv4地址指派給端點網路介面。只有在所有選取的子網路都有IPv4地址範圍,且端點服務接受IPv4請求時,才支援此選項。

    • IPv6 – 將IPv6地址指派給端點網路介面。只有在所有選取的子網路IPv6都是子網路,且端點服務接受IPv6請求時,才支援此選項。

    • Dualstack – 將 IPv4和 IPv6 地址指派給端點網路介面。只有在所有選取的子網路同時具有 IPv4和 IPv6 地址範圍,且端點服務同時接受 IPv4和 IPv6請求時,才支援此選項。

  10. 對於DNS記錄 IP 類型,請從下列選項中選擇:

    • IPv4 – 建立私有、區域和區域DNS名稱的記錄。IP 地址類型必須為 IPv4Dualstack

    • IPv6 – 建立私有、區域和區域DNS名稱AAAA的記錄。IP 地址類型必須為 IPv6Dualstack

    • Dualstack – 建立私有、區域和區域DNS名稱的 A 和AAAA記錄。IP 地址類型必須為 Dualstack

    • 服務定義 – 建立私有、區域和區域DNS名稱的記錄,以及區域和區域DNS名稱AAAA的記錄。IP 地址類型必須為 Dualstack

  11. 針對 Security group (安全群組),選取要與端點網路介面建立關聯的安全群組。

  12. 選擇建立端點

使用命令列建立介面端點