本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 通过以下方式访问服务网络 Amazon PrivateLink
<a name="privatelink-access-service-networks"></a>

您可以使用服务网络 VPC 端点（service-network 端点）从您的 VPC 私有连接到服务网络。service-network 端点允许您私有且安全地访问与服务网络关联的资源和服务。这样，您就可以通过单个 VPC 端点私有访问多个资源和服务。

服务网络是资源配置和 VPC Lattice 服务的逻辑集合。使用 service-network 端点，您可以将服务网络连接到自己的 VPC，以及从您的 VPC 或本地私有访问这些资源和服务。service-network 端点可让您连接到一个服务网络。要从 VPC 连接到多个服务网络，您可以创建多个 service-network 端点，每个此类端点都指向不同的服务网络。

服务网络与 Amazon Resource Access Manager (Amazon RAM) 集成。您可以通过 Amazon RAM与其他账户共享您的服务网络。当您与其他 Amazon 账户共享服务网络时，该账户可以创建服务网络终端节点来连接到服务网络。您可以使用 Amazon RAM中的[资源共享](https://docs.amazonaws.cn/ram/latest/userguide/working-with-sharing.html)来共享服务网络。

使用 Amazon RAM 控制台查看您已添加到的资源共享、您可以访问的共享服务网络以及与您共享资源的 Amazon 账户。有关更多信息，请参阅 *Amazon RAM 用户指南*中的[与您共享的资源](https://docs.amazonaws.cn/ram/latest/userguide/working-with-shared.html)。

**定价**  
与您的服务网络关联的资源配置按小时计费。此外，当您通过 service-network VPC 端点访问资源时，还会按照处理的数据 GB 量计费。对于 service-network VPC 端点本身，不会按小时计费。有关更多信息，请参阅[Amazon VPC Lattice 定价](https://www.amazonaws.cn/vpc/lattice/pricing/)。

**Topics**
+ [概述](#sn-network-overview)
+ [DNS 主机名](#sn-endpoint-dns)
+ [DNS 解析](#sn-endpoint-dns-resolution)
+ [私有 DNS](#sn-endpoint-private-dns)
+ [子网和可用区](#sn-endpoint-subnets-zones)
+ [IP 地址类型](#sn-endpoint-ip-address-type)
+ [创建 service-network 端点](access-with-service-network-endpoint.md)
+ [管理 service-network 端点](manage-sn-endpoint.md)

## 概述
<a name="sn-network-overview"></a>

您可以创建自己的服务网络，也可以通过其他账户与您共享服务网络。无论采用何种方式，您都可以创建一个 service-network 端点，以便从您的 VPC 连接到该端点。有关如何创建服务网络并将资源配置与其关联的更多信息，请参阅 [Amazon VPC Lattice 用户指南](https://docs.amazonaws.cn/vpc-lattice/latest/ug/)。

下图显示您 VPC 中的 service-network 端点如何访问服务网络。

![service-network 端点连接到服务网络。](http://docs.amazonaws.cn/vpc/latest/privatelink/images/service-network-endpoint.png)


只能从具有 service-network 端点的 VPC 启动指向服务网络中资源和服务的网络连接。包含资源和服务的 VPC 无法启动与端点 VPC 的网络连接。

## DNS 主机名
<a name="sn-endpoint-dns"></a>

使用 Amazon PrivateLink，您可以使用私有终端节点将流量发送到服务网络。创建 service-network VPC 端点时，我们会为每个资源和服务创建区域 DNS 名称（称为默认 DNS 名称），您可以使用这些名称从自己的 VPC 和本地与资源和服务进行通信。可以更改与端点关联的 IP 地址。我们建议您使用 DNS 而非端点 IP 来连接到服务网络。

服务网络中资源的默认 DNS 名称采用如下语法：

```
{{endpointId}}-{{snraId}}.{{rcfgId}}.{{randomHash}}.vpc-lattice-rsc.{{region}}.on.aws
```

service-network 中 Lattice 服务的默认 DNS 名称采用以下语法：

```
{{endpointId}}-{{snsaId}}.{{randomHash}}.vpc-lattice-svcs.{{region}}.on.aws
```

如果您使用的是 Amazon Web Services 管理控制台，则可以在**关联**选项卡下找到 DNS 名称。如果你使用的是 Amazon CLI，请使用 desc [ribe-vpc-endpoint-](https://docs.amazonaws.cn/cli/latest/reference/ec2/describe-vpc-endpoint-associations.html) associations 命令。

只有当您的服务网络有 Amazon R [DS 数据库服务的 ARN-type 资源配置时，您才能启用私](privatelink-access-aws-services.md#interface-endpoint-private-dns)有 DNS。使用私有 DNS，您可以使用服务为资源配置的 DNS 名称继续向资源发出请求，同时通过 Amazon 服务网络 VPC 终端节点利用私有连接。有关更多信息，请参阅 [DNS 解析](privatelink-access-resources.md#resource-endpoint-dns-resolution)。

## DNS 解析
<a name="sn-endpoint-dns-resolution"></a>

创建 service-network 端点时，我们会为与服务网络关联的每个资源配置和 Lattice 服务创建 DNS 名称。这些 DNS 记录均是公开的。因此，这些 DNS 名称可公开解析。但是，来自 VPC 外部的 DNS 请求仍会返回 service-network 端点网络接口的私有 IP 地址。只要您可以通过 VPN 或 Direct Connect 访问 service-network 端点所在的 VPC，就可以使用这些 DNS 名称从本地访问资源和服务。

## 私有 DNS
<a name="sn-endpoint-private-dns"></a>

如果您为服务网络 VPC 终端节点启用私有 DNS，并且您的 VPC 同时启用了 [DNS 主机名和 DNS 解析](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)，则我们会为具有自定义 DNS 名称的资源配置创建隐藏的托 Amazon管私有托管区域。托管区包含资源的默认 DNS 名称的记录集，用于解析为您 VPC 中的 service-network 端点网络接口的私有 IP 地址。

Amazon 为您的 VPC 提供 DNS 服务器，称为 [Route 53 Resolver](https://docs.amazonaws.cn/Route53/latest/DeveloperGuide/resolver.html)。Route 53 Resolver 自动解析私有托管区域中的本地 VPC 域名和记录。但是，您不能从 VPC 外部使用 Route 53 Resolver。如果要从本地网络访问您的 VPC 端点，则可以使用默认 DNS 名称，或者可使用 Route 53 Resolver 端点和解析器规则。有关更多信息，请参阅[Amazon Transit Gateway 与 Amazon PrivateLink 和集成 Amazon Route 53 Resolver](https://www.amazonaws.cn/blogs/networking-and-content-delivery/integrating-aws-transit-gateway-with-aws-privatelink-and-amazon-route-53-resolver/)。

## 子网和可用区
<a name="sn-endpoint-subnets-zones"></a>

您可以配置 VPC 端点，每个可用区中有一个子网。我们将在您的子网中为 VPC 端点创建一个弹性网络接口。如果 VPC 端点的 [IP 地址类型](privatelink-access-resources.md#resource-endpoint-ip-address-type)是 IPv4，则我们为其子网中的每个弹性网络接口分配 IP 地址（以 /28 的倍数）。每个子网中分配的 IP 地址数量取决于资源配置的数量，我们会根据需要在 /28 块中添加其他 IP。在生产环境中，为提高可用性和弹性，我们建议为每个 VPC 端点配置至少两个可用区。

## IP 地址类型
<a name="sn-endpoint-ip-address-type"></a>

Service-network 端点可以支持 IPv4、IPv6 或双栈地址。支持 IPv6 的端点可以使用 AAAA 记录响应 DNS 查询。service-network 端点的 IP 地址类型必须与资源端点的子网兼容，如下所述：
+ **IPv4** – 将 IPv4 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 地址范围时，才支持此选项。
+ **IPv6** – 将 IPv6 地址分配给端点网络接口。仅当所有选定子网均为仅限 IPv6 的子网时，才支持此选项。
+ **Dualstack**（双堆栈）– 将 IPv4 和 IPv6 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 和 IPv6 地址范围时，才支持此选项。

如果 service-network VPC 端点支持 IPv4，则端点网络接口具有 IPv4 地址。如果 service-network VPC 端点支持 IPv6，则端点网络接口具有 IPv6 地址。无法从互联网访问端点网络接口的 IPv6 地址。如果您使用 IPv6 地址描述端点网络接口，请注意已启用 `denyAllIgwTraffic`。