Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen Sie einen Dienst, der unterstützt wird von AWS PrivateLink
Sie können Ihren eigenen Dienst erstellen AWS PrivateLink, der als Endpunktdienst bezeichnet wird. Sie sind der Service-Anbieter, und die AWS -Prinzipale, die Verbindungen zu Ihrem Service einrichten, sind die Service-Verbraucher.
Endpunkt-Services erfordern entweder einen Network Load Balancer oder einen Gateway Load Balancer. Der Load Balancer erhält Anfragen von Service-Verbrauchern und leitet sie an Ihren Service weiter. In diesem Fall erstellen Sie einen Endpunkt-Service mit einem Network Load Balancer. Weitere Informationen zum Erstellen eines Endpunktservice mit einem Gateway Load Balancer finden Sie unter Zugriff auf virtuelle Appliances.
Inhalt
Überlegungen
-
Ein Endpunktservice ist in der Region verfügbar, in der Sie ihn erstellt haben. Sie können mithilfe von VPC Peering von anderen Regionen aus auf den Endpunktdienst zugreifen.
-
Wenn Service-Verbraucher Informationen zu einem Endpunkt-Service abrufen, können sie nur die Availability Zones sehen, die sie mit dem Service-Anbieter gemeinsam haben. Wenn sich der Service-Anbieter und der Service-Verbraucher in verschiedenen Konten befinden, kann ein Name der Availability Zone, z. B.
us-east-1a
, in jedem AWS-Konto einer anderen physischen Verfügbarkeitszone zugeordnet werden. Sie können AZ verwendenIDs, um die Availability Zones für Ihren Service konsistent zu identifizieren. Weitere Informationen finden Sie unter AZ IDs im EC2Amazon-Benutzerhandbuch. -
Wenn Service-Verbraucher Datenverkehr über einen Schnittstellenendpunkt an einen Service senden, sind die der Anwendung bereitgestellten Quell-IP-Adressen die privaten IP-Adressen der Load-Balancer-Knoten, nicht die IP-Adressen der Service-Verbraucher. Wenn Sie das Proxy-Protokoll auf dem Load Balancer aktivieren, können Sie die Adressen der Service-Verbraucher und der Schnittstellen-Endpunkte IDs aus dem Proxy-Protokoll-Header abrufen. Weitere Informationen finden Sie unter Proxy-Protokoll im Benutzerhandbuch für Network Load Balancers.
-
Ein Network Load Balancer kann einem einzelnen Endpunktdienst zugeordnet werden, ein Endpunktdienst kann jedoch mehreren Network Load Balancern zugeordnet werden.
-
Wenn ein Endpunktservice mehreren Network Load Balancern zugeordnet ist, ist jede Endpunkt-Netzwerkschnittstelle einem Load Balancer zugeordnet. Wenn die erste Verbindung von einer Endpunkt-Netzwerkschnittstelle aus initiiert wird, wählen wir nach dem Zufallsprinzip einen der Network Load Balancer in derselben Availability Zone wie die Endpunkt-Netzwerkschnittstelle aus. Alle nachfolgenden Verbindungsanfragen von dieser Endpunkt-Netzwerkschnittstelle verwenden den ausgewählten Load Balancer. Wir empfehlen, für einen Endpunktservice dieselbe Listener- und Zielgruppenkonfiguration für alle Load Balancer zu verwenden, damit Verbraucher den Endpunktservice unabhängig von der Wahl des Load Balancers erfolgreich nutzen können.
-
Es gibt Kontingente für Ihre AWS PrivateLink Ressourcen. Weitere Informationen finden Sie unter AWS PrivateLink Kontingente.
Voraussetzungen
-
Erstellen Sie VPC für Ihren Endpunkt einen Dienst mit mindestens einem Subnetz in jeder Availability Zone, in der der Dienst verfügbar sein soll.
-
Damit Servicenutzer IPv6 VPC Schnittstellenendpunkte für Ihren Endpunktdienst erstellen können, müssen den Subnetzen VPC und den Subnetzen Blöcke zugeordnet sein. IPv6 CIDR
-
Erstellen Sie einen Network Load Balancer in IhremVPC. Wählen Sie pro Availability Zone ein Subnetz aus, in dem der Service für Service-Verbraucher verfügbar sein soll. Für niedrige Latenz und Fehlertoleranz empfehlen wir, dass Sie Ihren Service in mindestens zwei Availability Zones der Region zur Verfügung stellen.
-
Wenn Ihr Network Load Balancer über eine Sicherheitsgruppe verfügt, muss er eingehenden Datenverkehr von den IP-Adressen der Clients zulassen. Alternativ können Sie die Auswertung der Regeln für eingehende Sicherheitsgruppen für den durchgehenden Datenverkehr deaktivieren. AWS PrivateLink Weitere Informationen finden Sie unter Sicherheitsgruppen im Benutzerhandbuch für Network Load Balancers.
-
Damit Ihr Endpunktdienst IPv6 Anfragen annehmen kann, müssen seine Network Load Balancer den Dualstack-IP-Adresstyp verwenden. Die Ziele müssen keinen Datenverkehr unterstützen. IPv6 Weitere Informationen finden Sie unter IP-Adresstyp im Benutzerhandbuch für Network Load Balancer.
Wenn Sie Quell-IP-Adressen aus dem Header der Version 2 des Proxyprotokolls verarbeiten, stellen Sie sicher, dass Sie IPv6 Adressen verarbeiten können.
-
Starten Sie Instances in jeder Availability Zone, in der der Service verfügbar sein soll, und registrieren Sie sie bei einer Load-Balancer-Zielgruppe. Wenn Sie Instances nicht in allen aktivierten Availability Zones starten, können Sie den zonenübergreifenden Lastenausgleich aktivieren, um Servicenutzer zu unterstützen, die zonale DNS Hostnamen für den Zugriff auf den Service verwenden. Gebühren für regionale Datenübertragungen fallen an, wenn Sie den zonenübergreifenden Lastausgleich aktivieren. Weitere Informationen finden Sie unter Zonenübergreifendes Load Balancing im Benutzerhandbuch für Network Load Balancers.
Erstellen eines Endpunktservice
Verwenden Sie das folgende Verfahren, um einen Endpunkt-Service mit einem Network Load Balancer zu erstellen.
So erstellen Sie einen Endpunktservice unter Verwendung der Konsole
Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie im Navigationsbereich Endpoint Services (Endpunktservices) aus.
-
Wählen Sie Create Endpoint Service (Endpunkt-Service erstellen) aus.
-
Wählen Sie für Load balancer type (Load-Balancer-Typ) die Option Network (Netzwerk) aus.
-
Wählen Sie für Available load balancers (verfügbare Load Balancer) die Network Load Balancer aus, die dem Endpunktservice zugeordnet werden sollen. Unter „Included Availability Zones“ werden die Availability Zones aufgeführt, die für die ausgewählten Network Load Balancer aktiviert sind. Ihr Endpunktdienst wird in diesen Availability Zones verfügbar sein.
-
Wählen Sie für Require acceptance for endpoint (Akzeptanz für Endpunkt erforderlich) Acceptance required (Akzeptanz erforderlich), um zu verlangen, dass Verbindungsanforderungen an Ihren Endpunkt-Service manuell akzeptiert werden. Andernfalls werden diese Anfragen automatisch akzeptiert.
-
Wählen Sie unter DNS Privaten Namen aktivieren die Option Dem Dienst einen privaten DNS Namen zuordnen aus, um einen privaten DNS Namen zuzuweisen, mit dem Dienstnutzer auf Ihren Dienst zugreifen können, und geben Sie dann den privaten DNS Namen ein. Andernfalls können Dienstnutzer den endpunktspezifischen DNS Namen verwenden, der von bereitgestellt wird. AWS Bevor Servicekunden den privaten DNS Namen verwenden können, muss der Dienstanbieter überprüfen, ob sie Eigentümer der Domain sind. Weitere Informationen finden Sie unter DNSNamen verwalten.
-
Führen Sie für Supported IP address types (Unterstützte IP-Adresstyp) einen der folgenden Schritte aus:
-
Wählen IPv4— Aktivieren Sie den Endpunktdienst für die Annahme von IPv4 Anfragen.
-
Wählen IPv6— Ermöglichen Sie dem Endpunktdienst die Annahme von IPv6 Anfragen.
-
Wählen Sie IPv4und IPv6— Aktivieren Sie den Endpunktdienst so, dass er IPv4 sowohl als auch IPv6 Anfragen akzeptiert.
-
-
(Optional) Sie fügen ein Tag hinzu, indem Sie Add new tag (neuen Tag hinzufügen) auswählen und den Schlüssel und den Wert für den Tag eingeben.
-
Wählen Sie Create (Erstellen) aus.
So erstellen Sie einen Endpunktservice unter Verwendung der Befehlszeile
-
New-EC2VpcEndpointServiceConfiguration(Tools für Windows PowerShell)
Bereitstellen des Endpunkt-Service für Service-Verbraucher
AWS Prinzipale können sich privat mit Ihrem Endpunktdienst verbinden, indem sie einen VPC Schnittstellenendpunkt erstellen. Service-Anbieter müssen Folgendes tun, um ihre Services den Service-Verbrauchern zur Verfügung zu stellen.
-
Fügen Sie Berechtigungen hinzu, die es jedem Service-Verbraucher ermöglichen, eine Verbindung mit Ihrem Endpunkt-Service herzustellen. Weitere Informationen finden Sie unter Verwalten von Berechtigungen.
-
Geben Sie dem Service-Verbraucher den Namen Ihres Service und der unterstützten Availability Zonen, damit er einen Schnittstellenendpunkt erstellen kann, um eine Verbindung mit dem Service herzustellen. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einem Endpunkt-Service als Service-Verbraucher.
-
Akzeptieren Sie die Endpunktverbindungsanforderung vom Service-Verbraucher. Weitere Informationen finden Sie unter Annehmen oder Ablehnen von Verbindungsanforderungen.
Herstellen einer Verbindung mit einem Endpunkt-Service als Service-Verbraucher
Ein Service-Verbraucher verwendet das folgende Verfahren, um einen Schnittstellenendpunkt zu erstellen, um eine Verbindung mit dem Endpunkt-Service herzustellen.
So erstellen Sie einen Schnittstellenendpunkt mit der Konsole
Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie im Navigationsbereich Endpunkte aus.
-
Wählen Sie Endpunkt erstellen.
-
Wählen Sie als Typ die Option Endpunktdienste aus, die NLBs und verwenden GWLBs.
-
Geben Sie unter Dienstname den Namen des Dienstes ein (z. B.
com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc
), und wählen Sie dann Dienst verifizieren aus. -
Wählen Sie für den VPC aus VPC, von dem aus Sie auf den Endpunktdienst zugreifen möchten.
-
Wählen Sie unter Subnetze die Subnetze aus, in denen Endpunkt-Netzwerkschnittstellen erstellt werden sollen.
-
Wählen Sie für IP address type (IP-Adressentyp) eine der folgenden Optionen aus:
-
IPv4— Weisen Sie den Endpunkt-Netzwerkschnittstellen IPv4 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv4 Adressbereiche haben und der Endpunktdienst IPv4 Anfragen akzeptiert.
-
IPv6— Weist den Endpunkt-Netzwerkschnittstellen IPv6 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv6 nur Subnetze sind und der Endpunktdienst Anfragen akzeptiertIPv6.
-
Dualstack — Weisen Sie den IPv4 Endpunkt-Netzwerkschnittstellen sowohl als auch IPv6 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze sowohl als auch IPv6 Adressbereiche haben IPv4 und der Endpunktdienst sowohl Anfragen als auch IPv4 akzeptiert. IPv6
-
-
Wählen Sie für den DNSDatensatz-IP-Typ eine der folgenden Optionen aus:
-
IPv4— Erstellen Sie A-Einträge für die privaten, regionalen und zonalen DNS Namen. Der IP-Adresstyp muss IPv4oder Dualstack sein.
-
IPv6— Erstellen Sie AAAA Datensätze für die privaten, regionalen und DNS zonalen Namen. Der IP-Adresstyp muss IPv6oder Dualstack sein.
-
Dualstack — Erstellen Sie A und AAAA Datensätze für die privaten, regionalen und zonalen Namen. DNS Der IP-Adresstyp muss Dualstack sein.
-
Service defined — Erstellen Sie A-Datensätze für die privaten, regionalen und zonalen DNS Namen und AAAA Datensätze für die regionalen und zonalen Namen. DNS Der IP-Adresstyp muss Dualstack sein.
-
-
Für Sicherheitsgruppe wählen Sie die Sicherheitsgruppen aus, die den Endpunktnetzwerkschnittstellen zugeordnet werden sollen.
-
Wählen Sie Endpunkt erstellen.
So erstellen Sie einen Schnittstellenendpunkt mithilfe der Befehlszeile
-
create-vpc-endpoint (AWS CLI)
-
New-EC2VpcEndpoint(Tools für Windows) PowerShell