使用适用于 DynamoDB Accelerator(DAX)的 Amazon PrivateLink - Amazon DynamoDB
使用适用于 DynamoDB Accelerator(DAX)的 Amazon PrivateLink 时需要考虑的因素Amazon PrivateLink 如何与 DAX 协同工作为 DAX 创建接口端点其他资源
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用适用于 DynamoDB Accelerator(DAX)的 Amazon PrivateLink

利用适用于 DynamoDB Accelerator(DAX)的 Amazon PrivateLink,您可以通过虚拟私有云(VPC)中的私有 IP 地址,安全地访问 DAX 管理 API,例如 CreateClusterDescribeClustersDeleteCluster。此功能让您能够从应用程序私密访问 DAX 服务,而无需向公共互联网公开流量。

DAX PrivateLink 支持双栈端点(dax.{region}.api.aws),可同时实现 IPv4 和 IPv6 连接。借助适用于 DAX 的 Amazon PrivateLink,客户可以使用私有 DNS 名称访问服务。双栈端点支持在确保透明连接的同时,维护了网络隐私。这使得您可以通过公共互联网和 VPC 端点访问 DAX,而无需对 SDK 配置进行任何更改。

在实施适用于 DynamoDB Accelerator(DAX)的 Amazon PrivateLink 时,有几个重要的注意事项必须予以考虑。

在为 DAX 设置接口端点之前,请考虑以下事项:

  • DAX 接口端点仅支持访问同一个 Amazon Web Services 区域中的 DAX 管理 API。您不能使用接口端点访问其他区域中的 DAX 管理 API。

  • 要私密访问 Amazon Web Services 管理控制台以进行 DAX 管理,您可能需要为 com.amazonaws.region.console 等服务及相关服务创建额外的 VPC 端点。

  • 您为 DAX 创建和使用的接口端点需要付费。有关定价信息,请参阅 Amazon PrivateLink 定价

当您为 DAX 创建接口端点时:

  1. Amazon 将在您为接口端点启用的每个子网中创建一个端点网络接口。

  2. 这些是请求者托管的网络接口,用作发往 DAX 的流量的入口点。

  3. 然后,您可以通过 VPC 内的私有 IP 地址访问 DAX。

  4. 此架构让您可以使用 VPC 安全组来管理对端点的访问。

  5. 应用程序可以通过 VPC 内各自的接口端点访问 DynamoDB 和 DAX,同时还允许本地应用程序通过 Direct Connect 或 VPN 进行连接。

  6. 这为两种服务提供了一致的连接模式,可简化架构,并通过将流量保持在 Amazon 网络内来提高安全性。

您可以创建接口端点以使用 Amazon Web Services 管理控制台、Amazon SDK、Amazon CloudFormation 或 Amazon API 连接到 DAX。

使用控制台为 DAX 创建接口端点

  1. 导航到位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择端点

  3. 选择 Create Endpoint(创建端点)。

  4. 服务类别中,选择 Amazon Web Services 服务,然后对于服务名称,搜索并选择 com.amazonaws.region.dax

  5. 对于 VPC,选择要从中访问 DAX 的 VPC;对于子网,选择 Amazon 将在其中创建端点网络接口的子网。

  6. 对于安全组,选择或创建要与端点网络接口关联的安全组。

  7. 对于策略,请保留默认的完全访问权限或根据需要进行自定义。

  8. 要为端点启用私有 DNS,请选择 启用 DNS 名称。保持私有 DNS 名称处于启用状态,防止在 SDK 配置中进行更改。启用后,您的应用程序可以继续使用标准服务 DNS 名称(例如:dax.region.amazonaws.com)。Amazon 会在您的 VPC 中创建私有托管区,将此名称解析为您的端点的私有 IP 地址。

    注意

    如果需要,请使用区域 DNS 名称。建议不要使用分区 DNS 名称。此外,您还可以从 3 个或更多可用区中选择子网,确保通过 PrivateLink 实现最高可用性。

  9. 选择创建端点

使用 Amazon CLI 为 DAX 创建接口端点

使用 create-vpc-endpoint 命令,并将 vpc-endpoint-type 参数设置为 Interface,将 service-name 参数设置为 com.amazonaws.region.dax

aws ec2 create-vpc-endpoint \
    --vpc-id vpc-ec43eb89 \
    --vpc-endpoint-type Interface \
    --service-name com.amazonaws.us-east-1.dax \
    --subnet-ids subnet-abcd1234 subnet-1a2b3c4d \
    --security-group-ids sg-1a2b3c4d \
    --private-dns-enabled

有关 Amazon PrivateLink 和 VPC 端点的更多信息,请参阅以下资源: