Amazon PrivateLink 概念 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon PrivateLink 概念

您可以使用 Amazon VPC 定义虚拟私有云(VPC),这是一个逻辑隔离虚拟网络。您可以启动 VPC 中的 Amazon 资源。您可以允许 VPC 中的资源连接到该 VPC 外部的资源。例如,向 VPC 添加互联网网关以允许访问互联网,或添加 VPN 连接以允许访问您的本地网络。或者,使用 Amazon PrivateLink 允许 VPC 中的资源使用私有 IP 地址连接到其他 VPC 中的服务,正如这些服务直接托管在您的 VPC 中一样。

以下是开始使用 Amazon PrivateLink 时需要理解的重要概念。

架构示意图

下列示意图大致地概述了 Amazon PrivateLink 的工作原理。服务使用者创建接口 VPC 端点以连接到由服务提供商托管的端点服务。


        			服务使用者创建接口 VPC 端点以连接到由服务提供商托管的端点服务。

服务提供商

服务的所有者为服务提供商。服务提供商包括 Amazon、Amazon 合作伙伴及其他 Amazon Web Services 账户。服务提供商可以使用 Amazon 资源(例如 EC2 实例)或使用本地服务器托管其服务。

端点服务

服务提供商创建了端点服务,以使其服务在区域中可用。在创建端点服务时,服务提供商必须指定负载均衡器。负载均衡器接收来自服务使用者的请求并将请求路由到您的服务。

默认情况下,您的端点服务对服务使用者不可用。您必须添加允许特定 Amazon 主体连接到您的端点服务的权限。

服务名称

每个端点服务都由服务名称标识。在创建 VPC 端点时,服务使用者必须指定服务名称。服务使用者可以查询 Amazon Web Services 的服务名称。服务提供商必须与服务使用者共享其服务名称。

服务状态

以下是端点服务可能具有的状态:

  • Pending - 正在创建端点服务。

  • Available - 端点服务可用。

  • Failed - 无法创建端点服务。

  • Deleting - 服务提供商删除了端点服务,删除正在进行中。

  • Deleted - 端点服务已删除。

服务使用者

服务的用户为服务使用者。服务使用者可以从 Amazon 资源(例如 EC2 实例)或从本地服务器访问端点服务。

VPC 端点

服务使用者可以创建 VPC 端点以将其 VPC 连接到端点服务。在创建 VPC 端点时,服务使用者必须指定端点服务的服务名称。VPC 端点有多种类型。您可以创建端点服务要求的 VPC 端点类型。

  • Interface - 创建一个接口端点以将 TCP 流量发送到端点服务。发往端点服务的流量使用 DNS 进行解析。

  • GatewayLoadBalancer - 创建网关负载均衡器端点以将流量发送到使用私有 IP 地址的虚拟设备实例集。您使用路由表将流量从您的 VPC 路由到网关负载均衡器端点。网关负载均衡器将流量分配到虚拟设备,并且可以根据需求进行扩展。

还有另一种类型的 VPC 端点 Gateway ,它会创建一个网关端点来向 AmazonS3 或 DynamoDB 发送流量。与其他类型的 VPC 端点不同,网关端点不使用 Amazon PrivateLink。有关更多信息,请参阅网关端点

端点网络接口

端点网络接口是一个请求者管理的网络接口,其用作发往端点服务的流量的入口点。对于您在创建 VPC 端点时指定的每个子网,我们将在子网中创建一个端点网络接口。

如果 VPC 端点支持 IPv4,则其端点网络接口具有 IPv4 地址。如果 VPC 端点支持 IPv6,则其端点网络接口具有 IPv6 地址。无法从互联网访问端点网络接口的 IPv6 地址。当您使用 IPv6 地址描述端点网络接口时,请注意已启用 denyAllIgwTraffic

端点网络接口的 IP 地址在其 VPC 端点的生命周期内不会变更。

端点策略

VPC 端点策略是一种 IAM 资源策略,您可以将其附加到接口端点。此策略确定哪些主体可以使用 VPC 端点访问端点服务。默认 VPC 端点策略允许所有主体通过 VPC 端点对所有资源执行所有操作。

端点状态

创建 VPC 端点时,端点服务会收到连接请求。服务提供商可以接受或拒绝请求。如果服务提供商接受请求,则服务使用者进入 Available 状态后即可使用 VPC 端点。

以下是 VPC 端点可能具有的状态:

  • PendingAcceptance - 连接请求待处理。如果手动接受请求,则此为初始状态。

  • Pending - 服务提供商接受了连接请求。如果自动接受请求,则此为初始状态。如果服务使用者修改 VPC 端点,则 VPC 端点将返回此状态。

  • Available - VPC 端点可供使用。

  • Rejected - 服务提供商拒绝了连接请求。服务提供商也可以在连接可用后拒绝连接。

  • Expired - 连接请求已过期。

  • Failed - VPC 端点不可用。

  • Deleting - 服务提供商删除了 VPC 端点,删除正在进行中。

  • Deleted - VPC 端点已删除。

来自您的 VPC 的流量使用 VPC 端点和端点服务之间的连接发送到端点服务。VPC 端点和端点服务之间的流量保留在 Amazon 网络内,无需遍历公有 Internet。

服务提供商可添加权限,以便服务使用者可以访问端点服务。服务使用者可启动连接,而服务提供商可接受或拒绝连接请求。

通过接口 VPC 端点,服务使用者可以使用端点策略来控制哪些 IAM 主体可以使用 VPC 端点访问端点服务。

私有托管区

托管区是 DNS 记录的容器,用于定义如何路由域或子域的流量。对于公有托管区,记录指定如何在互联网上路由流量。对于私有托管区,记录指定如何在 VPC 中路由流量。

您可以配置 Amazon Route 53 以将域流量路由到 VPC 端点。有关更多信息,请参阅 Routing traffic to a VPC endpoint using your domain name(使用域名将流量路由到 VPC 端点)。

您可以使用 Route 53 配置水平分割 DNS,在这种情况下,您可以为公有网站和由 Amazon PrivateLink 提供支持的端点服务使用相同的域名。来自使用者 VPC 的公有主机名 DNS 请求将解析到端点网络接口的私有 IP 地址,但来自 VPC 外部的请求会继续解析到公有端点。有关更多信息,请参阅用于路由流量和为 Amazon PrivateLink 部署启用失效转移的 DNS 机制