通过 Amazon PrivateLink 访问虚拟设备 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过 Amazon PrivateLink 访问虚拟设备

您可以使用网关负载均衡器将流量分配到网络虚拟设备队列。这些设备可用于安全检查、合规性、策略控制和其他网络服务。您可以在创建 VPC 端点服务时指定网关负载均衡器。其他 Amazon 主体通过创建网关负载均衡器端点访问端点服务。

有关更多信息,请参阅网关负载均衡器

概述

下图说明了应用程序服务器如何通过 Amazon PrivateLink 访问安全设备。应用程序服务器在服务使用者 VPC 的子网中运行。您在同一 VPC 的另一个子网中创建网关负载均衡器端点。通过互联网网关进入服务使用者 VPC 的所有流量首先会路由到网关负载均衡器端点,以便进行检查,然后再路由到目标子网。同样,离开应用程序服务器的所有流量会被路由到网关负载均衡器端点以进行检查,然后通过互联网网关被路由回应用程序服务器。


        使用网关负载均衡器端点访问安全设备。
从互联网到应用程序服务器的流量(蓝色箭头):
  1. 流量通过互联网网关进入服务使用者 VPC。

  2. 根据路由表配置,将流量发送到网关负载均衡器端点。

  3. 通过安全设备,将流量发送到网关负载均衡器以进行检查。

  4. 检查完成后,将流量发送回网关负载均衡器端点。

  5. 根据路由表配置,将流量发送到应用程序服务器。

从应用程序服务器到互联网的流量(橙色箭头):
  1. 根据路由表配置,将流量发送到网关负载均衡器端点。

  2. 通过安全设备,将流量发送到网关负载均衡器以进行检查。

  3. 检查完成后,将流量发送回网关负载均衡器端点。

  4. 根据路由表配置,将流量发送到互联网网关。

  5. 流量被路由回互联网。

IP 地址类型

服务提供商可通过 IPv4、IPv6 或 IPv4 和 IPv6 向服务使用者提供其服务端点,即使其安全设备仅支持 IPv4。如果您启用双堆栈支持,则现有使用者可继续使用 IPv4 访问您的服务,并且新的使用者可选择使用 IPv6 访问您的服务。

如果网关负载均衡器端点支持 IPv4,则端点网络接口具有 IPv4 地址。如果网关负载均衡器端点支持 IPv6,则端点网络接口具有 IPv6 地址。无法从互联网访问端点网络接口的 IPv6 地址。如果您使用 IPv6 地址描述端点网络接口,请注意已启用 denyAllIgwTraffic

为端点服务启用 IPv6 的要求
  • 端点服务的 VPC 和子网必须具有关联的 IPv6 CIDR 块。

  • 端点服务的所有网关负载均衡器必须使用双堆栈 IP 地址类型。安全设备不需要支持 IPv6 流量。

为网关负载均衡器端点启用 IPv6 的要求
  • 端点服务必须具有包含 IPv6 支持的 IP 地址类型。

  • 网关负载均衡器端点的 IP 地址类型必须与网关负载均衡器端点的子网兼容,如下所述:

    • IPv4 – 将 IPv4 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 地址范围时,才支持此选项。

    • IPv6 – 将 IPv6 地址分配给端点网络接口。仅当所有选定子网均为仅限 IPv6 的子网时,才支持此选项。

    • Dualstack(双堆栈)– 将 IPv4 和 IPv6 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 和 IPv6 地址范围时,才支持此选项。

  • 服务使用者 VPC 中子网的路由表必须路由 IPv6 流量,而这些子网的网络 ACL 必须允许 IPv6 流量。

路由

若要将流量路由到端点服务,请使用其 ID 将网关负载均衡器端点指定为路由表中的目标。在上图中,将路由添加到路由表,如下所示。请注意,双堆栈配置包含 IPv6 路由。

互联网网关的路由表

此路由表必须具有将发往应用程序服务器的流量发送到网关负载均衡器端点的路由。

目标位置 目标
VPC IPv4 CIDR 本地
VPC IPv6 CIDR 本地
应用程序子网 IPv4 CIDR vpc-endpoint-id
应用程序子网 IPv6 CIDR vpc-endpoint-id
包含应用程序服务器的子网的路由表

此路由表必须具有将来自应用程序服务器的所有流量发送到网关负载均衡器端点的路由。

目标位置 目标
VPC IPv4 CIDR 本地
VPC IPv6 CIDR 本地
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id
包含网关负载均衡器端点的子网的路由表

此路由表必须将从检查返回的流量发送到最终目标位置。如果流量来自互联网,本地路由会将流量发送到应用程序服务器。如果流量来自应用程序服务器,则添加将所有流量发送到互联网网关的路由。

目标位置 目标
VPC IPv4 CIDR 本地
VPC IPv6 CIDR 本地
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id