使用接口 VPC 终端节点访问 Amazon Cloud Map (Amazon PrivateLink) - Amazon Cloud Map
注意事项创建接口端点
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用接口 VPC 终端节点访问 Amazon Cloud Map (Amazon PrivateLink)

您可以使用 Amazon PrivateLink 在您的 VPC 和 Amazon Cloud Map 之间创建私有连接。您可以像在 VPC 中一样访问 Amazon Cloud Map,而无需使用互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问 Amazon Cloud Map。

您可以通过创建由 Amazon PrivateLink 提供支持的接口端点来建立此私有连接。我们将在您为接口终端节点启用的每个子网中创建一个终端节点网络接口。这些是请求者托管式网络接口,用作发往 Amazon Cloud Map 的流量的入口点。

有关更多信息,请参阅 Amazon PrivateLink 指南中的通过 Amazon PrivateLink 访问 Amazon Web Services

Amazon Cloud Map 的注意事项

在为 Amazon Cloud Map 设置接口端点之前,请首先检查 Amazon PrivateLink 指南中的 注意事项

如果您的 Amazon VPC 没有互联网网关,并且您的任务使用 awslogs 日志驱动程序将日志信息发送到 CloudWatch Logs,则必须为 CloudWatch Logs 创建一个接口 VPC 端点。有关更多信息,请参阅 Amazon CloudWatch Logs 用户指南中的将 CloudWatch Logs 与接口 VPC 终端节点结合使用

VPC 终端节点不支持Amazon跨区域请求。确保在计划向 Amazon Cloud Map 发出 API 调用的同一区域中创建终端节点。

VPC 终端节点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅 Amazon VPC 用户指南中的 DHCP 选项集

附加到 VPC 端点的安全组必须允许端口 443 上来自 Amazon VPC 的私有子网的传入连接。

为 Amazon Cloud Map 创建接口终端节点

您可以使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 为 Amazon Cloud Map 创建 VPC 端点。有关更多信息,请参阅 Amazon PrivateLink 指南中的创建接口端点

使用以下服务名称为 Amazon Cloud Map 创建接口端点:

注意

DiscoverInstancesAPI 将无法在这两个端点上使用。

com.amazonaws.region.servicediscovery
com.amazonaws.region.servicediscovery-fips

使用以下服务名称为 Amazon Cloud Map 数据面板创建接口端点在访问 DiscoverInstances API:

com.amazonaws.region.data-servicediscovery
com.amazonaws.region.data-servicediscovery-fips
注意

当您使用数据面板端点的区域或可用区 VPCE DNS 名称调用DiscoverInstances时,您需要禁用主机前缀注入。当您调用每个 API 操作时,Amazon CLI 和 Amazon SDK 会在服务端点前面添加各种主机前缀,这会在您指定 VPC 端点时生成无效的 URL。

如果为接口端点启用私有 DNS,则可使用区域默认 DNS 名称向 Amazon Cloud Map 发出 API 请求。例如,servicediscovery.us-east-1.amazonaws.com

VPCE Amazon PrivateLink 连接在 Amazon Cloud Map 受支持的任何区域都受支持;但是,在定义端点之前,客户需要检查哪些可用区支持 VPCE。了解区域中接口 VPC 端点支持哪些可用区,请使用 describe-vpc-endpoint-services 命令或使用 Amazon Web Services Management Console。例如,以下命令返回您可以在美国东部(俄亥俄州)地区将Amazon Cloud Map接口 VPC 端点部署到的可用区:

aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.servicediscovery`].AvailabilityZones[]'