Amazon Web Service 使用接口访问 VPC 终端节点 - Amazon Virtual Private Cloud
先决条件创建 VPC 端点共享子网
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Web Service 使用接口访问 VPC 终端节点

您可以创建接口 VPC 终端节点来连接由其提供支持的服务 Amazon PrivateLink,包括许多服务 Amazon Web Services。有关概述,请参阅 Amazon PrivateLink 概念Amazon Web Services 通过以下方式访问 Amazon PrivateLink

对于您在 VPC 中指定的每个子网,我们将在子网中创建一个端点网络接口,并为其分配子网地址范围内的私有 IP 地址。端点网络接口是由请求者管理的网络接口;您可以在您的 Amazon Web Services 账户中查看,但无法自行管理。

先决条件

  • 在您的 VPC Amazon Web Service 中部署用于访问的资源。

  • 若要使用私有 DNS,您必须为 VPC 启用 DNS 主机名和 DNS 解析。有关更多信息,请参阅《Amazon VPC 用户指南》中的查看和更新 DNS 属性

  • 要为接口终端节点启用 IPv6, Amazon Web Service 必须支持通过 IPv6 进行访问。有关更多信息,请参阅 IP 地址类型

  • 创建一个安全组,允许您的 VPC 中的资源与 VPC 端点的端点网络接口通信。为确保诸如之类的工具 Amazon CLI 能够通过 HTTPS 从 VPC 中的资源向发出请求 Amazon Web Service,安全组必须允许入站 HTTPS 流量。

  • 如果您的资源位于具有网络 ACL 的子网中,请验证网络 ACL 是否允许端点网络接口与 VPC 中的资源之间的流量。

  • 您的 Amazon PrivateLink 资源有配额。有关更多信息,请参阅 Amazon PrivateLink 配额

创建 VPC 端点

使用以下过程创建连接到 Amazon Web Service的接口 VPC 端点。

为创建接口终端节点 Amazon Web Service

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoints(端点)。

  3. 选择 创建端点

  4. 对于 Service category(服务类别),选择 Amazon Web Services

  5. 对于 Service name(服务名称),选择服务。有关更多信息,请参阅 Amazon Web Services 与之集成 Amazon PrivateLink

  6. 对于 VPC,选择您要从中访问 Amazon Web Service的 VPC。

  7. 如果您在步骤 5 中选择了 Amazon S3 的服务名称,并且想要配置私有 DNS 支持,则请选择其他设置启用 DNS 名称。当您做出此选择时,其还会自动选择仅对入站端点启用私有 DNS。您只能为 Amazon S3 的接口端点配置带有入站解析器端点的私有 DNS。如果您没有 Amazon S3 的网关端点,并且选择仅为入站端点启用私有 DNS,则在尝试执行此过程的最后一步时会收到错误消息。

    如果您在步骤 5 中为除 Amazon S3 之外的所有服务都选择了服务名称,则表明已选择了其他设置启用 DNS 名称。建议您保留默认值。

  8. Subnets(子网)选项中,为每个可用区选择一个您将从中访问 Amazon Web Service的子网。您无法从同一可用区中选择多个子网。我们将在您选择的每个子网中创建一个端点网络接口。默认情况下,我们选择子网 IP 地址范围中的 IP 地址,并将其分配给端点网络接口。要为端点网络接口选择 IP 地址,请选择指定 IP 地址,然后输入子网地址范围中的 IPv4 地址。如果端点服务支持 IPv6,您也可以输入子网地址范围中的 IPv6 地址。

  9. 对于 IP address type(IP 地址类型),可从以下选项中进行选择:

    • IPv4 – 将 IPv4 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 地址范围且服务接受 IPv4 请求时,才支持此选项。

    • IPv6 – 将 IPv6 地址分配给端点网络接口。仅当所有选定子网均为仅限 IPv6 的子网且服务接受 IPv6 请求时,才支持此选项。

    • Dualstack(双堆栈)– 将 IPv4 和 IPv6 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 和 IPv6 地址范围且服务接受 IPv4 和 IPv6 请求时,才支持此选项。

  10. 对于 Security groups(安全组),选择要与 VPC 端点的端点网络接口关联的安全组。默认情况下,我们会关联 VPC 的默认安全组。

  11. 对于 Policy(策略),选择 Full access(完全访问权限)以允许所有主体通过 VPC 端点对所有资源执行所有操作。否则,选择 Custom(自定义)以附加 VPC 端点策略,该策略控制主体通过 VPC 端点对资源执行操作的权限。该选项仅在服务支持 VPC 端点策略时可用。有关更多信息,请参阅 端点策略

  12. (可选)若要添加标签,请选择 Add new tag(添加新标签),然后输入该标签的键和值。

  13. 选择创建端点

使用命令行创建接口端点

共享子网

您无法在与您共享的子网中创建、描述、修改或删除 VPC 端点。但是,您可以在与您共享的子网中使用 VPC 端点。