网关负载均衡器端点的 VPC 终端节点服务 - Amazon Virtual Private Cloud
可用区注意事项规则和限制
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

网关负载均衡器端点的 VPC 终端节点服务

您可以使用网关负载均衡器将流量分配到网络虚拟设备队列。这些设备可用于安全检查、合规性、策略控制和其他网络服务。然后,您可以将 Gateway Load Balancer 配置为 VPC 终端节点服务,以便其他 Amazon 委托人能够通过 Gateway Load Balancer 端点访问该服务。

以下是为网关负载均衡器终端节点创建终端节点服务的一般步骤。

  1. 为虚拟设备创建网关负载均衡器。有关更多信息,请参阅网关负载均衡器入门

    我们建议您在区域内的所有可用区中配置您的服务。

  2. 创建 VPC 终端节点服务配置并指定网关负载均衡器。

以下是一些常规步骤,通过这些步骤,服务使用者能够连接到您的服务。

  1. 向特定服务用户(Amazon 账户、IAM 用户和 IAM 角色)授予权限,允许他们创建与您的终端节点服务之间的连接。

  2. 已获得权限的服务使用者会向您的服务创建 Gateway Load Balancer 端点

  3. 要激活连接,请接受终端节点连接请求。默认情况下,必须手动接受连接请求。不过,您可以配置终端节点服务的接受设置,以便自动接受所有连接请求。

在以下示例中,安全设备队列配置在安全 VPC 中的网关负载均衡器之后。已为网关负载均衡器配置终端节点服务。服务使用者 VPC 的拥有者在其 VPC 的子网 2 中创建一个网关负载均衡器终端节点(通过终端节点网络接口表示)。通过互联网网关进入 VPC 的所有流量首先会路由到网关负载均衡器终端节点,以便在安全 VPC 中进行检查,然后再路由到目标子网。同样,离开子网 1 中的 EC2 实例的所有流量首先会路由到网关负载均衡器终端节点,以便在安全 VPC 中进行检查,然后再路由到互联网。

使用网关负载均衡器终端节点访问终端节点服务

有关此方案的路由配置的更多信息,请参阅 Amazon VPC 用户指南 中的路由到 Gateway Load Balancer 端点

可用区注意事项

创建终端节点服务时,将在映射至您的账户且独立于其他账户的可用区中创建此服务。当服务提供商与使用者处于不同的账户中时,请使用可用区 ID 唯一且一致地识别终端节点可用区。例如,use1-az1us-east-1 区域的 AZ ID,映射至每个 Amazon 账户中的相同位置。有关可用区 ID 的信息,请参阅 Amazon RAM 用户指南中的您的资源的 AZ ID 或使用 describe-availability-zones

当服务提供商和使用者具有不同的账户并使用多个可用区,并且使用者查看 VPC 终端节点服务信息时,响应仅包括公共可用区。例如,当服务提供商账户使用 us-east-1aus-east-1c 而使用者使用 us-east-1aus-east-1b 时,响应包括公共可用区 us-east-1a 中的 VPC 终端节点服务。

规则和限制

要将终端节点服务用于网关负载均衡器终端节点,请注意当前的规则和限制:

  • 如果终端节点服务与多个网关负载均衡器关联,那么对于某个特定的可用区,一个网关负载均衡器终端节点将仅建立一个与负载均衡器的连接。

  • 不支持私有 DNS 名称。

  • 您账户中的可用区可能不会映射到与其他账户中的可用区相同的位置。例如,您的可用区 us-east-1a 与其他账户的可用区 us-east-1a 可能不是同一个位置。有关更多信息,请参阅区域和可用区。配置终端节点服务时,将在映射到您的账户的可用区中配置此服务。