本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Gateway Load Balancer 端點來存取檢查系統
您可以建立 Gateway Load Balancer 端點以連線至 AWS PrivateLink支援的端點服務。
對於從您指定的每個子網路VPC,我們會在子網路中建立端點網路介面,並從子網路位址範圍為其指派私有 IP 位址。端點網路介面是由請求者管理的網路介面;您可以在您的網路介面中檢視 AWS 帳戶,但無法自行管理。
我們會向您收取每小時用量率及資料處理費。如需詳細資訊,請參閱 Gateway Load Balancer 端點定價
考量事項
-
您只能在服務用戶中選擇一個可用區域VPC。您之後無法變更此子網。若要在不同子網中使用 Gateway Load Balancer 端點,則必須建立新的 Gateway Load Balancer 端點。
-
您可以為每個服務的每個可用區域建立單一 Gateway Load Balancer 端點,但必須選擇 Gateway Load Balancer 支援的可用區域。服務提供者與服務消費者處於不同帳戶時,可將區域名稱 (例如
us-east-1a
) 對應至每個 AWS 帳戶中的不同實體可用區域。您可以使用 AZ IDs 來一致地識別服務的可用區域。如需詳細資訊,請參閱 Amazon EC2 使用者指南IDs中的 AZ。 -
必須在服務提供者接受連線請求之後,您才能使用端點服務。服務無法VPC透過VPC端點對您的資源發起要求。端點只會傳回您的資源所起始之流量的回應VPC。
-
每個閘道負載平衡器端點可支援每個可用區域 (AZ) 高達 10 Gbps 的頻寬,並自動擴充至 100 Gbps。
-
如果端點服務與多個 Gateway Load Balancer 相關聯,則 Gateway Load Balancer 端點在每個可用區域僅與一個負載平衡器建立連線。
-
若要將流量保留在相同的可用區域內,建議您在要向其傳送流量的每個可用區域中建立 Gateway Load Balancer 端點。
-
當流量透過閘道 Load Balancer 端點路由時,不支援 Network Load Balancer 用戶端 IP 保留,即使目標與 Network Load Balancer 位於VPC相同。
-
如果應用程式伺服器和閘道 Load Balancer 端點位於相同的子網路中,NACL則會評估從應用程式伺服器到閘道 Load Balancer 端點的流量規則。
-
您的 AWS PrivateLink 資源有配額。如需詳細資訊,請參閱AWS PrivateLink 配額。
必要條件
-
建立在可用區域中至少VPC有兩個子網路的服務用戶,您可以從中存取服務。一個子網用於應用程式伺服器,另一個子網用於 Gateway Load Balancer 端點。
-
若要確認端點服務支援哪些可用區域,請使用主控台或describe-vpc-endpoint-services命令描述端點服務。
-
如果您的資源位於具有網路的子網路中ACL,請確認網路ACL允許端點網路介面和中的資源之間的流量VPC。
建立端點
使用下列程序建立連線至檢查系統端點服務的 Gateway Load Balancer 端點。
若要使用主控台建立 Gateway Load Balancer 端點
在打開 Amazon VPC 控制台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中選擇端點。
-
選擇建立端點。
-
針對 Service category (服務類別) 中,選擇 Other endpoint services (其他端點服務)。
-
針對 Service Name (服務名稱),請輸入服務名稱,然後選擇 Verify Service (驗證服務)。
-
對於 VPC,選取要VPC在其中建立端點的。
-
針對 Subnets (子網路),請選取要在其中建立端點的子網路。
-
針對 IP address type (IP 地址類型),從下列選項中選擇:
-
IPv4— 為您的端點網路介面指派IPv4位址。只有在所有選取的子網路都有IPv4位址範圍時,才支援此選項。
-
IPv6— 為您的端點網路介面指派IPv6位址。只有當所有選取的子網路都只有子網路時,IPv6才支援此選項。
-
Dualstack — 將IPv4和IPv6位址指派給您的端點網路介面。只有在所有選取的子網路都具有IPv4和IPv6位址範圍時,才支援此選項。
-
-
(選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。
-
選擇建立端點。起始狀態為
pending acceptance
。
若要使用命令列建立 Gateway Load Balancer 端點
-
create-vpc-endpoint (AWS CLI)
-
New-EC2VpcEndpoint(視窗工具 PowerShell)
設定路由
請使用下列程序來設定服務用戶的路由表VPC。如此可讓安全設備針對傳送至應用程式伺服器的傳入流量執行安全檢查。如需詳細資訊,請參閱路由。
若要使用主控台設定路由
-
在打開 Amazon VPC 控制台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇 Route Tables (路由表)。
-
選取網際網路閘道路由表並執行以下操作:
-
選擇 Actions (動作)、Edit routes (編輯路由)。
-
如果支援IPv4,請選擇 [新增路線]。在目的地中,輸入應用程式伺服器的子網路IPv4CIDR區塊。對於「目標」,選取VPC端點。
-
如果支援IPv6,請選擇 [新增路線]。在目的地中,輸入應用程式伺服器的子網路IPv6CIDR區塊。對於「目標」,選取VPC端點。
-
選擇 Save changes (儲存變更)。
-
-
為具有應用程式伺服器的子網選取路由表並執行以下操作:
-
選擇 Actions (動作)、Edit routes (編輯路由)。
-
如果支援IPv4,請選擇 [新增路線]。針對 Destination (目標),輸入
0.0.0.0/0
。對於「目標」,選取VPC端點。 -
如果支援IPv6,請選擇 [新增路線]。針對 Destination (目標),輸入
::/0
。對於「目標」,選取VPC端點。 -
選擇 Save changes (儲存變更)。
-
-
選取具有 Gateway Load Balancer 端點之子網路的路由表,並執行以下操作:
-
選擇 Actions (動作)、Edit routes (編輯路由)。
-
如果支援IPv4,請選擇 [新增路線]。針對 Destination (目標),輸入
0.0.0.0/0
。針對 Target (目標),請選取網際網路閘道。 -
如果支援IPv6,請選擇 [新增路線]。針對 Destination (目標),輸入
::/0
。針對 Target (目標),請選取網際網路閘道。 -
選擇 Save changes (儲存變更)。
-
若要使用命令列設定路由
-
create-route (AWS CLI)
-
New-EC2Route(視窗工具 PowerShell)
管理標籤
您可標記您的 Gateway Load Balancer 端點,以幫助您根據組織需求進行識別或分類。
若要使用主控台管理標籤
在打開 Amazon VPC 控制台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中選擇端點。
-
選取介面端點。
-
選擇 Actions (動作)、Manage tags (管理標籤)。
-
對於要新增的每個標籤,請選擇 Add new tag (新增標籤),然後輸入標籤金鑰和標籤值。
-
若要移除標籤,請選擇標籤金鑰和值右側的 Remove (移除)。
-
選擇 Save (儲存)。
若要使用命令列來管理標籤
-
create-tags 和 delete-tags (AWS CLI)
-
New-EC2Tag和 Remove-EC2Tag(視窗工具 PowerShell)
刪除 Gateway Load Balancer 端點
端點結束使用後即可刪除。刪除 Gateway Load Balancer 端點也會刪除端點網路介面。如果路由表中有指向端點的路由,則無法刪除 Gateway Load Balancer 端點。
若要刪除 Gateway Load Balancer 端點
在打開 Amazon VPC 控制台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇 Endpoints (端點),然後選取您的端點。
-
選擇 Actions (動作)、Delete Endpoint (刪除端點)。
-
在確認畫面中,選擇 Yes, Delete (是,刪除)。
若要刪除 Gateway Load Balancer 端點
-
delete-vpc-endpoints (AWS CLI)
-
Remove-EC2VpcEndpoint (AWS Tools for Windows PowerShell)