网关负载均衡器终端节点 (Amazon PrivateLink) - Amazon Virtual Private Cloud
网关负载均衡器终端节点属性和限制网关负载均衡器终端节点生命周期网关负载均衡器终端节点的定价创建网关负载均衡器终端节点查看网关负载均衡器终端节点为网关负载均衡器终端节点添加或删除标签
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

网关负载均衡器终端节点 (Amazon PrivateLink)

网关负载均衡器终端节点使您能够拦截流量并将流量路由到您使用网关负载均衡器配置用于安全检查等的服务。服务的拥有者是服务提供商,您(作为创建网关负载均衡器终端节点的委托人)是服务使用者

以下是设置网关负载均衡器终端节点的常规步骤:

  1. 确保已配置网关负载均衡器终端节点服务。有关更多信息,请参阅 网关负载均衡器端点的 VPC 终端节点服务

  2. 选择要在其中创建网关负载均衡器终端节点的 VPC,然后提供服务的名称。

  3. 在 VPC 中选择使用网关负载均衡器终端节点的子网。我们将在该子网中创建一个终端节点网络接口。终端节点网络接口从您的子网 IP 地址范围分配一个私有 IP 地址,并保留此 IP 地址,直到该网关负载均衡器终端节点被删除为止。

    注意

    终端节点网络接口是由请求者管理的网络接口。您可以在您的账户中查看它,但不能亲自管理。有关更多信息,请参阅请求者托管的网络接口

  4. 已创建的网关负载均衡器终端节点在服务提供商接受后即可使用。服务提供商可以将服务配置为自动或手动接受请求。

  5. 配置子网路由表和网关路由表以将流量指向网关负载均衡器终端节点。有关更多信息,请参阅 Amazon VPC 用户指南中的路由到网关负载均衡器终端节点

网关负载均衡器终端节点属性和限制

要使用网关负载均衡器终端节点,请注意以下事项:

  • 对于每个网关负载均衡器终端节点,您只能在 VPC 中选择一个可用区(子网)。以后您不能更改子网。要在不同子网中使用网关负载均衡器终端节点,请在该子网中创建新的网关负载均衡器终端节点。您可以针对服务为每个可用区创建单个 Gateway Load Balancer 端点,但仅能够针对 Gateway Load Balancer 支持的可用区创建。

  • 每个网关负载均衡器终端节点最高支持 40Gbps 的带宽。

  • 如果子网的网络 ACL 限制流量,您可能无法通过网关负载均衡器终端节点发送流量。请确保您增加了相应的规则,允许与子网的 CIDR 块之间的往返流量。

  • 不支持安全组。

  • 不支持终端节点策略。

  • 可能无法在所有可用区中通过网关负载均衡器终端节点使用服务。要了解支持的可用区,请使用 describe-vpc-endpoint-services 命令或使用 Amazon VPC 控制台。有关更多信息,请参阅 创建网关负载均衡器终端节点

  • 创建网关负载均衡器终端节点时,将在映射至您的账户且独立于其他账户的可用区中创建此终端节点。当服务提供商与使用者处于不同的账户中时,请使用可用区 ID 唯一且一致地识别终端节点可用区。例如,use1-az1us-east-1 区域的可用区 ID,并映射到每个 Amazon 账户中的相同位置。有关可用区 ID 的信息,请参阅 Amazon RAM 用户指南您的资源的 AZ ID 或使用 describe-availability-zones

  • 要将流量保持在同一可用区内,我们建议您在将向其发送流量的每个可用区中创建网关负载均衡器终端节点。

  • 当流量通过网关负载均衡器端点路由时,不支持 Network Load Balancer 客户端 IP 保留,即使目标与 Network Load Balancer 位于同一 VPC 中亦是如此。

  • 仅在同一区域内支持终端节点。无法在 VPC 和其他区域内的服务之间创建终端节点。

  • 终端节点仅支持 IPv4 流量。

  • 无法将终端节点从一个 VPC 转移到另一个 VPC,也无法将终端节点从一项服务转移到另一项服务。

  • 您可以为每个 VPC 创建的终端节点的数量有配额。有关更多信息,请参阅 Amazon PrivateLink 配额

网关负载均衡器终端节点生命周期

从您创建网关负载均衡器终端节点(终端节点连接请求)时开始,网关负载均衡器终端节点将经历不同的阶段。在每个阶段,可能会有一些服务使用者和服务提供商可执行的操作。

网关负载均衡器终端节点生命周期

以下规则适用:

  • 服务提供商可将其服务配置为自动或手动接受网关负载均衡器终端节点请求。

  • 服务提供商无法删除连接至其服务的网关负载均衡器终端节点。只有请求连接的服务使用者才可以删除网关负载均衡器终端节点。

  • 服务提供商可以在网关负载均衡器终端节点被接受并处于 available 状态后拒绝该终端节点。

网关负载均衡器终端节点的定价

您在为某个服务创建和使用网关负载均衡器终端节点时需要付费。将按小时使用费率和数据处理费率收费。有关更多信息,请参阅 Amazon PrivateLink定价。您可以使用 Amazon VPC 控制台或 Amazon CLI 查看网关负载均衡器终端节点的总数。

创建网关负载均衡器终端节点

要创建网关负载均衡器终端节点,您必须指定要在其中创建该终端节点的 VPC 和要连接到的服务。

Console

要创建网关负载均衡器终端节点

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 EndpointsCreate Endpoint

  3. 对于 Service category,选择 Find service by name

  4. 对于 Service Name(服务名称),输入服务的名称并选择 Verify(验证)。

  5. 填写以下信息,然后选择 Create endpoint

    • 对于 VPC,选择要在其中创建终端节点的 VPC。

    • 对于 Subnets(子网),选择要在其中创建网关负载均衡器终端节点网络接口的子网(可用区)。

    • (可选)要添加标签,选择 Add tag(添加标签),然后为标签指定键和值。

Command line

使用 Amazon CLI 创建网关负载均衡器终端节点。

使用 create-vpc-endpoint 命令,并指定 VPC ID、VPC 终端节点(网关负载均衡器)的类型、服务名称以及在其中创建网关负载均衡器终端节点的子网。

aws ec2 create-vpc-endpoint --vpc-endpoint-type GatewayLoadBalancer --vpc-id vpc-id --subnet-ids subnet-id --service-name gateway-load-balancer-service-name

使用 Amazon Tools for Windows PowerShell 或 API 创建 VPC 终端节点

查看网关负载均衡器终端节点

在创建网关负载均衡器终端节点之后,您可以查看有关它的信息。

Console

要使用控制台查看有关网关负载均衡器终端节点的信息

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中选择 Endpoints(终端节点)并选择您的网关负载均衡器终端节点。

  3. 选择 Details

  4. 要查看已创建网关负载均衡器终端节点的子网以及终端节点网络接口的 ID,请选择 Subnets(子网)。

Command line

要使用命令行工具或 API 描述网关负载均衡器终端节点

为网关负载均衡器终端节点添加或删除标签

您可以添加或删除网关负载均衡器终端节点的标签。

Console

要添加或删除标签

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择终端节点

  3. 选择网关负载均衡器终端节点,选择 Actions(操作)、Add/Edit Tags(添加/编辑标签)。

  4. 添加或删除标签。

    [添加标签] 选择 Create tag(创建标签),然后执行以下操作:

    • 对于 Key (键),输入键名称。

    • 对于 Value(值),输入键值。

    [删除标签] 选择标签的键和值右侧的删除按钮 (“x”)。

Command line

要使用命令行工具或 API 添加或删除标签