Zugriff AWS-Services über AWS PrivateLink - Amazon Virtual Private Cloud
ÜbersichtDNS-HostnamenDNS-AuflösungPrivates DNSSubnetze und Availability ZonesIP-Adresstypen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriff AWS-Services über AWS PrivateLink

Sie greifen auf einen Endpunkt zu und AWS-Service verwenden ihn. Die standardmäßigen Service-Endpunkte sind öffentliche Schnittstellen, daher müssen Sie Ihrer VPC ein Internet-Gateway hinzufügen, damit der Datenverkehr von der VPC zur AWS-Service gelangen kann. Wenn diese Konfiguration Ihren Netzwerksicherheitsanforderungen nicht entspricht, können Sie Ihre VPC so AWS PrivateLink verbinden, AWS-Services als ob sie sich in Ihrer VPC befinden würden, ohne ein Internet-Gateway verwenden zu müssen.

Sie können privat auf diejenigen zugreifen AWS-Services , die AWS PrivateLink mithilfe von VPC-Endpunkten integriert sind. Sie können alle Ebenen Ihres Anwendungs-Stacks erstellen und verwalten, ohne ein Internet-Gateway zu verwenden.

Preisgestaltung

Ihnen wird jede Stunde in Rechnung gestellt, in der Ihr Schnittstellen-VPC-Endpunkt in jeder Availability Zone bereitgestellt wird. Ihnen wird auch pro GB verarbeiteter Daten in Rechnung gestellt. Weitere Informationen finden Sie unter AWS PrivateLink -Preisgestaltung.

Inhalt

Übersicht

Sie können AWS-Services über ihre öffentlichen Dienstendpunkte darauf zugreifen oder eine Verbindung zu unterstützten AWS-Services Benutzern herstellen. AWS PrivateLink In dieser Übersicht werden diese Methoden verglichen.

Zugang über Endpunkte für öffentliche Services

Das folgende Diagramm zeigt, wie Instanzen AWS-Services über die Endpunkte des öffentlichen Dienstes zugreifen. Der Datenverkehr zu und AWS-Service von einer Instance in einem öffentlichen Subnetz wird an das Internet-Gateway für die VPC und dann an die weitergeleitet. AWS-Service Datenverkehr zu einem AWS-Service von einer Instance in einem privaten Subnetz wird zu einem NAT-Gateway, dann zum Internet-Gateway für die VPC und dann an die AWS-Service geroutet. Dieser Datenverkehr durchquert zwar das Internet-Gateway, verlässt das Netzwerk jedoch nicht. AWS

Der Datenverkehr zu und von Ihrer VPC erfolgt über ein Internet-Gateway, bleibt aber im AWS Netzwerk. AWS-Service
Connect über AWS PrivateLink

Das folgende Diagramm zeigt, wie Instanzen AWS-Services über zugreifen AWS PrivateLink. Zunächst erstellen Sie einen VPC-Schnittstellen-Endpunkt, der Verbindungen zwischen den Subnetzen in Ihrer VPC und einer AWS-Service verwendenden Netzwerkschnittstelle herstellt. Der für den bestimmte Datenverkehr AWS-Service wird mithilfe von DNS an die privaten IP-Adressen der Endpunkt-Netzwerkschnittstellen aufgelöst und dann an die Verbindung gesendet, die die Verbindung zwischen dem VPC-Endpunkt und dem AWS-Service verwendet. AWS-Service

Der Verkehr aus einem Subnetz verwendet einen VPC-Schnittstellen-Endpunkt, um eine Verbindung zu einem herzustellen. AWS-Service

AWS-Services akzeptiert Verbindungsanfragen automatisch. Der Service kann keine Anfragen an Ressourcen über den VPC-Endpunkt veranlassen.

DNS-Hostnamen

Die meisten AWS-Services bieten öffentliche regionale Endpunkte an, die die folgende Syntax haben.

protocol://service_code.region_code.amazonaws.com

Der öffentliche Endpunkt für Amazon CloudWatch in us-east-2 lautet beispielsweise wie folgt.

https://monitoring.us-east-2.amazonaws.com

Mit AWS PrivateLink senden Sie Traffic über private Endpunkte an den Service. Wenn Sie einen VPC-Schnittstellen-Endpunkt erstellen, erstellen wir regionale und zonale DNS-Namen, mit denen Sie AWS-Service von Ihrer VPC aus kommunizieren können.

Der regionale DNS-Name für Ihren Schnittstellen-VPC-Endpunkt hat die folgende Syntax:

endpoint_id.service_id.region.vpce.amazonaws.com

Die zonalen DNS-Namen haben die folgende Syntax:

endpoint_id-az_name.service_id.region.vpce.amazonaws.com

Wenn Sie einen VPC-Schnittstellen-Endpunkt für einen erstellen AWS-Service, können Sie privates DNS aktivieren. Mit Private DNS können Sie weiterhin Anfragen an einen Dienst unter Verwendung des DNS-Namens für seinen öffentlichen Endpunkt stellen, während Sie die private Konnektivität über den VPC-Endpunkt der Schnittstelle nutzen. Weitere Informationen finden Sie unter DNS-Auflösung.

Der folgende Befehl describe-vpc-endpoints zeigt die DNS-Einträge für einen Schnittstellenendpunkt an.

aws ec2 describe-vpc-endpoints --vpc-endpoint-id vpce-099deb00b40f00e22 --query VpcEndpoints[*].DnsEntries

Im Folgenden finden Sie eine Beispielausgabe für einen Schnittstellenendpunkt für Amazon CloudWatch mit aktivierten privaten DNS-Namen. Der erste Eintrag ist der private regionale Endpunkt. Die nächsten drei Einträge sind die privaten zonalen Endpunkte. Der letzte Eintrag stammt aus der versteckten privaten gehosteten Zone, die Anforderungen an den öffentlichen Endpunkt an die privaten IP-Adressen der Endpunkt-Netzwerkschnittstellen auflöst.

[
    [
        {
            "DnsName": "vpce-099deb00b40f00e22-lj2wisx3.monitoring.us-east-2.vpce.amazonaws.com",
            "HostedZoneId": "ZC8PG0KIFKBRI"
        },
        {
            "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2c.monitoring.us-east-2.vpce.amazonaws.com",
            "HostedZoneId": "ZC8PG0KIFKBRI"
        },
        {
            "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2a.monitoring.us-east-2.vpce.amazonaws.com",
            "HostedZoneId": "ZC8PG0KIFKBRI"
        },
        {
            "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2b.monitoring.us-east-2.vpce.amazonaws.com",
            "HostedZoneId": "ZC8PG0KIFKBRI"
        },
        {
            "DnsName": "monitoring.us-east-2.amazonaws.com",
            "HostedZoneId": "Z06320943MMOWYG6MAVL9"
        }
    ]
]

DNS-Auflösung

Die DNS-Einträge, die wir für Ihren Schnittstellen-VPC-Endpunkt erstellen, sind öffentlich. Daher sind diese DNS-Namen öffentlich auflösbar. DNS-Anfragen von außerhalb der VPC geben jedoch weiterhin die privaten IP-Adressen der Endpunkt-Netzwerkschnittstellen zurück, sodass diese IP-Adressen nur dann für den Zugriff auf den Endpunkt-Service verwendet werden können, wenn Sie Zugriff auf die VPC haben.

Privates DNS

Wenn Sie privates DNS für Ihren Schnittstellen-VPC-Endpunkt aktivieren und in Ihrer VPC sowohl DNS-Hostnamen als auch DNS-Auflösung aktiviert sind, erstellen wir eine versteckte, AWS verwaltete private gehostete Zone für Sie. Die gehostete Zone enthält einen Datensatz für den DNS-Standardnamen für den Service, der in die privaten IP-Adressen der Endpunktnetzwerkschnittstellen in Ihrer VPC aufgelöst wird. Wenn Sie also bereits über Anwendungen verfügen, die Anfragen an einen öffentlichen regionalen Endpunkt senden, werden diese Anfragen jetzt über die Netzwerkschnittstellen der Endgeräte weitergeleitet, ohne dass Sie Änderungen an diesen Anwendungen vornehmen müssen. AWS-Service

Wir empfehlen Ihnen, private DNS-Namen für Ihre VPC-Endpunkte für zu aktivieren. AWS-Services Dadurch wird sichergestellt, dass Anfragen, die die Endpunkte des öffentlichen Dienstes verwenden, z. B. Anfragen, die über ein AWS SDK gestellt wurden, an Ihren VPC-Endpunkt weitergeleitet werden.

Amazon stellt einen DNS-Server für Ihre VPC zu Verfügung, den Route 53 Resolver. Der Route 53 Resolver löst automatisch lokale VPC-Domainnamen und Datensätze in privaten gehosteten Zonen. Sie können den Route 53 Resolver jedoch nicht von außerhalb Ihrer VPC verwenden. Wenn Sie auf Ihren VPC-Endpunkt von Ihrem On-Premises-Netzwerk aus zugreifen möchten, können Sie Route 53 Resolver-Endpunkte und Resolver-Regeln verwenden. Weitere Informationen finden Sie unter Integration AWS Transit Gateway mit AWS PrivateLink und. Amazon Route 53 Resolver

Subnetze und Availability Zones

Sie können Ihre VPC-Endpunkte mit einem Subnetz pro Availability Zone konfigurieren. Wir erstellen eine Endpunkt-Netzwerkschnittstelle für den VPC-Endpunkt in Ihrem Subnetz. Wir weisen jeder Endpunkt-Netzwerkschnittstelle aus ihrem Subnetz IP-Adressen zu, basierend auf dem IP-Adresstyp des VPC-Endpunkts. Die IP-Adressen einer Endpunkt-Netzwerkschnittstelle ändern sich während der Lebensdauer ihres VPC-Endpunkts nicht.

In einer Produktionsumgebung empfehlen wir für hohe Verfügbarkeit und Ausfallsicherheit Folgendes:

  • Konfigurieren Sie mindestens zwei Availability Zones pro VPC-Endpunkt und stellen Sie Ihre AWS Ressourcen bereit, die auf diese Availability Zones zugreifen müssen. AWS-Service

  • Konfigurieren Sie private DNS-Namen für den VPC-Endpunkt.

  • Greifen Sie AWS-Service über den regionalen DNS-Namen zu, der auch als öffentlicher Endpunkt bezeichnet wird.

Das folgende Diagramm zeigt einen VPC-Endpunkt für Amazon CloudWatch mit einer Endpunkt-Netzwerkschnittstelle in einer einzigen Availability Zone. Wenn eine Ressource in einem Subnetz in der VPC CloudWatch über ihren öffentlichen Endpunkt auf Amazon zugreift, lösen wir den Datenverkehr an die IP-Adresse der Endpunkt-Netzwerkschnittstelle auf. Dazu gehört auch Datenverkehr von Subnetzen in anderen Availability Zones. Wenn Availability Zone 1 jedoch beeinträchtigt ist, verlieren die Ressourcen in Availability Zone 2 den Zugriff auf Amazon CloudWatch.

Ein VPC-Schnittstellen-Endpunkt für Amazon, der für eine einzelne Availability Zone CloudWatch aktiviert ist.

Das folgende Diagramm zeigt einen VPC-Endpunkt für Amazon CloudWatch mit Endpunkt-Netzwerkschnittstellen in zwei Availability Zones. Wenn eine Ressource in einem Subnetz in der VPC über ihren öffentlichen Endpunkt auf Amazon CloudWatch zugreift, wählen wir eine funktionierende Endpunkt-Netzwerkschnittstelle aus und verwenden den Round-Robin-Algorithmus, um zwischen ihnen zu wechseln. Anschließend leiten wir den Datenverkehr an die IP-Adresse der ausgewählten Endpunkt-Netzwerkschnittstelle weiter.

Ein VPC-Schnittstellen-Endpunkt für Amazon, der für mehrere Availability Zones CloudWatch aktiviert ist.

Wenn es für Ihren Anwendungsfall besser ist, können Sie den Datenverkehr von Ihren Ressourcen über die Endpunkt-Netzwerkschnittstelle in derselben Availability Zone an den AWS-Service senden. Verwenden Sie dazu den privaten zonalen Endpunkt oder die IP-Adresse der Endpunkt-Netzwerkschnittstelle.

Ein VPC-Schnittstellen-Endpunkt mit Datenverkehr, der die privaten zonalen Endpunkte verwendet.

IP-Adresstypen

AWS-Services kann IPv6 über ihre privaten Endpunkte unterstützen, auch wenn sie IPv6 nicht über ihre öffentlichen Endpunkte unterstützen. Endpunkte, die IPv6 unterstützen, können auf DNS-Abfragen mit AAAA-Datensätzen antworten.

Anforderungen zum Aktivieren von IPv6 für einen Schnittstellenendpunkt

  • Sie AWS-Service müssen ihre Dienstendpunkte über IPv6 verfügbar machen. Weitere Informationen finden Sie unter Anzeigen der IPv6-Unterstützung.

  • Der IP-Adresstyp eines Schnittstellenendpunkts muss mit den Subnetzen für den Schnittstellenendpunkt kompatibel sein, wie hier beschrieben:

    • IPv4 – Weisen Sie Ihren Endpunkt-Netzwerkschnittstellen IPv4-Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze über IPv4-Adressbereiche verfügen.

    • IPv6 – Weisen Sie Ihren Endpunktnetzwerkschnittstellen IPv6-Adressen. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze reine IPv6-Subnetze sind.

    • Dualstack – Zuweisen von IPv4- und IPv6-Adressen zu Ihren Endpunktnetzwerkschnittstellen. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze sowohl IPv4- als auch IPv6-Adressbereiche aufweisen.

Wenn ein Schnittstellen-VPC-Endpunkt IPv4 unterstützt, verfügen die Endpunkt-Netzwerkschnittstellen über IPv4-Adressen. Wenn ein Schnittstellen-VPC-Endpunkt IPv6 unterstützt, verfügen die Endpunkt-Netzwerkschnittstellen über IPv6-Adressen. Die IPv6-Adresse für eine Endpunkt-Netzwerkschnittstelle ist aus dem Internet nicht erreichbar. Wenn Sie eine Endpunktnetzwerkschnittstelle mit einer IPv6-Adresse beschreiben, beachten Sie, dass denyAllIgwTraffic aktiviert ist.