通过以下方式访问虚拟设备 Amazon PrivateLink - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过以下方式访问虚拟设备 Amazon PrivateLink

您可以使用网关负载均衡器将流量分配到网络虚拟设备队列。这些设备可用于安全检查、合规性、策略控制和其他网络服务。您可以在创建VPC终端节点服务时指定 Gateway Load Balancer。其他 Amazon 主体通过创建网关负载均衡器端点访问端点服务。

定价

按照您的网关负载均衡器端点在每个可用区预置的每一小时向您收取费用。此外,您还需按照处理的数据 GB 付费。有关更多信息,请参阅Amazon PrivateLink 定价

有关更多信息,请参阅网关负载均衡器

概述

下图显示了应用程序服务器如何通过访问安全设备 Amazon PrivateLink。应用程序服务器在服务使用者的子网中运行VPC。您在另一个子网中创建 Gateway Load Balancer 终端节点VPC。所有VPC通过 Internet 网关进入服务使用者的流量首先路由到 Gateway Load Balancer 端点进行检查,然后路由到目标子网。同样,离开应用程序服务器的所有流量会被路由到网关负载均衡器端点以进行检查,然后通过互联网网关被路由回应用程序服务器。

使用网关负载均衡器端点访问安全设备。
从互联网到应用程序服务器的流量(蓝色箭头):
  1. 流量VPC通过互联网网关进入服务消费者。

  2. 根据路由表配置,将流量发送到网关负载均衡器端点。

  3. 通过安全设备,将流量发送到网关负载均衡器以进行检查。

  4. 检查完成后,将流量发送回网关负载均衡器端点。

  5. 根据路由表配置,将流量发送到应用程序服务器。

从应用程序服务器到互联网的流量(橙色箭头):
  1. 根据路由表配置,将流量发送到网关负载均衡器端点。

  2. 通过安全设备,将流量发送到网关负载均衡器以进行检查。

  3. 检查完成后,将流量发送回网关负载均衡器端点。

  4. 根据路由表配置,将流量发送到互联网网关。

  5. 流量被路由回互联网。

IP 地址类型

服务提供商可以通过IPv4、IPv6或两IPv4者兼而有之地将其服务端点提供给服务使用者IPv6,即使他们的安全设备仅支持IPv4。如果您启用双栈支持,则现有消费者可以继续使用IPv4来访问您的服务,而新的消费者可以选择使用IPv6来访问您的服务。

如果 Gateway Load Balancer 端点支持IPv4,则端点网络接口具有IPv4地址。如果 Gateway Load Balancer 端点支持IPv6,则端点网络接口具有IPv6地址。无法通过互联网访问端点网络接口IPv6的地址。如果您使用IPv6地址描述端点网络接口,请注意该接口已启denyAllIgwTraffic用。

IPv6为终端节点服务启用的要求
  • 终端节点服务的VPC和子网必须有关联的IPv6CIDR块。

  • 端点服务的所有网关负载均衡器必须使用双堆栈 IP 地址类型。安全设备不需要支持IPv6流量。

为 Gateway L IPv6 oad Balancer 终端节点启用的要求
  • 终端节点服务的 IP 地址类型必须包含IPv6支持。

  • 网关负载均衡器端点的 IP 地址类型必须与网关负载均衡器端点的子网兼容,如下所述:

    • IPv4— 为您的端点网络接口分配IPv4地址。仅当所有选定的子网都有IPv4地址范围时,才支持此选项。

    • IPv6— 为您的端点网络接口分配IPv6地址。仅当所有选定的子网仅为子网时,IPv6才支持此选项。

    • Dualstack — 将IPv4和IPv6地址分配给您的端点网络接口。仅当所有选定的子网同时具有IPv4和IPv6地址范围时,才支持此选项。

  • 服务使用者中子网的路由表VPC必须路由IPv6流量,并且这些子网ACLs的网络必须允许IPv6流量。

路由

若要将流量路由到端点服务,请使用其 ID 将网关负载均衡器端点指定为路由表中的目标。在上图中,将路由添加到路由表,如下所示。请注意,双栈配置中包含IPv6路由。

互联网网关的路由表

此路由表必须具有将发往应用程序服务器的流量发送到网关负载均衡器端点的路由。

目标位置 目标
VPC IPv4 CIDR 本地
VPC IPv6 CIDR 本地
Application subnet IPv4 CIDR vpc-endpoint-id
Application subnet IPv6 CIDR vpc-endpoint-id
包含应用程序服务器的子网的路由表

此路由表必须具有将来自应用程序服务器的所有流量发送到网关负载均衡器端点的路由。

目标位置 目标
VPC IPv4 CIDR 本地
VPC IPv6 CIDR 本地
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id
包含网关负载均衡器端点的子网的路由表

此路由表必须将从检查返回的流量发送到最终目标位置。如果流量来自互联网,本地路由会将流量发送到应用程序服务器。如果流量来自应用程序服务器,则添加将所有流量发送到互联网网关的路由。

目标位置 目标
VPC IPv4 CIDR 本地
VPC IPv6 CIDR 本地
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id