AWS PrivateLink conceptos - Amazon Virtual Private Cloud
Diagrama de arquitecturaProveedores de serviciosConsumidores de serviciosAWS PrivateLink conexionesZonas alojadas privadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS PrivateLink conceptos

Puede utilizar Amazon VPC para definir una nube privada virtual (VPC), que es una red virtual aislada lógicamente. Puede lanzar AWS recursos en su VPC. Puede permitir que los recursos de su VPC se conecten a recursos fuera de la VPC. Por ejemplo, agregue una puerta de enlace de Internet a la VPC para permitir el acceso a Internet o agregue una conexión de VPN para permitir el acceso a su red en las instalaciones. También puede utilizar esta opción AWS PrivateLink para permitir que los recursos de su VPC se conecten a los servicios de otras VPC mediante direcciones IP privadas, como si esos servicios estuvieran alojados directamente en su VPC.

Los siguientes conceptos son importantes y deben comprenderse cuando se comienza a utilizar AWS PrivateLink.

Diagrama de arquitectura

El siguiente diagrama proporciona una descripción general de alto nivel de su funcionamiento. AWS PrivateLink Los consumidores de servicios crean puntos de conexión de VPC de interfaz para conectarse a servicios de punto de conexión alojados por proveedores de servicios.

Los consumidores de servicios crean puntos de conexión de VPC de interfaz para conectarse a servicios de punto de conexión alojados por proveedores de servicios.

Proveedores de servicios

El propietario de un servicio es el proveedor del servicio. Los proveedores de servicios incluyen AWS AWS socios y otros Cuentas de AWS. Los proveedores de servicios pueden alojar sus servicios mediante AWS recursos, como instancias EC2, o mediante servidores locales.

Servicios de punto de conexión

Un proveedor de servicio crea un servicio de punto de conexión para que su servicio esté disponible en una región. Un proveedor de servicio debe especificar un equilibrador de carga cuando crea un servicio de punto de conexión. El equilibrador de carga recibe solicitudes de los consumidores del servicio y las dirige al servicio.

De forma predeterminada, el servicio de punto de conexión no está disponible para los consumidores del servicio. Debe añadir permisos que permitan a entidades AWS principales específicas conectarse a su servicio de punto final.

Nombres de servicios

Cada servicio de punto de conexión se identifica con un nombre de servicio. El consumidor del servicio debe especificar el nombre del servicio cuando crea un punto de conexión de VPC. Los consumidores de servicios pueden consultar los nombres de los Servicios de AWS servicios. Los proveedores de servicios deben compartir los nombres de sus servicios con los consumidores de servicios.

Estados del servicio

A continuación, se muestran los posibles estados de un servicio de punto de conexión:

  • Pending: el servicio de punto de conexión se está creando.

  • Available: el servicio de punto de conexión está disponible.

  • Failed: el servicio de punto de conexión no se pudo crear.

  • Deleting: el proveedor del servicio eliminó el servicio de punto de conexión y la eliminación está en curso.

  • Deleted: el servicio de punto de conexión se eliminó.

Consumidores de servicios

El usuario de un servicio es un consumidor del servicio. Los consumidores de servicios pueden acceder a los servicios de punto final desde AWS recursos, como instancias EC2, o desde servidores locales.

Puntos de conexión de VPC

El consumidor del servicio crea un punto de conexión de VPC para conectar su VPC a un servicio de punto de conexión. Cuando el consumidor del servicio crea un punto de conexión de VPC, debe especificar el nombre del servicio de punto de conexión. Hay varios tipos de puntos de conexión de VPC. Debe crear el tipo de punto de conexión de VPC que requiere el servicio de punto de conexión.

  • Interface: cree un punto de conexión de interfaz para enviar tráfico TCP a un servicio de punto de conexión. El tráfico destinado al servicio de punto de conexión se resuelve mediante DNS.

  • GatewayLoadBalancer: se crea un punto de conexión del equilibrador de carga de la puerta de enlace para enviar tráfico a una flota de dispositivos virtuales mediante direcciones IP privadas. El tráfico se enruta desde su VPC al punto de conexión del equilibrador de carga de la puerta de enlace mediante tablas de enrutamiento. El equilibrador de carga de la puerta de enlace distribuye el tráfico a los dispositivos virtuales y puede escalar en función de la demanda.

Hay otro tipo de punto de conexión de VPC, Gateway, que crea un punto de conexión de puerta de enlace para enviar tráfico a Amazon S3 o a DynamoDB. Los puntos de enlace de puerta de enlace no utilizan AWS PrivateLink, a diferencia de los otros tipos de puntos de enlace de VPC. Para obtener más información, consulte Puntos de conexión de la puerta de enlace.

Interfaces de red de punto de conexión

Una interfaz de red de punto de conexión es una interfaz de red administrada por el solicitante que sirve como punto de entrada para el tráfico destinado a un servicio de punto de conexión. Para cada subred que especifica cuando crea un punto de conexión de VPC, creamos una interfaz de red de punto de conexión en la subred.

Si un punto de conexión de VPC admite IPv4, sus interfaces de red de punto de conexión tienen direcciones IPv4. Si un punto de conexión de VPC admite IPv6, sus interfaces de red de punto de conexión tienen direcciones IPv6. No se puede acceder a la dirección IPv6 de una interfaz de red de punto de conexión desde Internet. Cuando describa una interfaz de red de punto de conexión con una dirección IPv6, observe que denyAllIgwTraffic esté habilitado.

Las direcciones IP de una interfaz de red de punto de conexión no variarán durante la vida útil de su punto de conexión de VPC correspondiente.

Políticas de punto de conexión

Una política de punto de conexión de VPC es una política de recursos de IAM que se adjunta a un punto de conexión de VPC. Determina qué entidades principales pueden utilizar el punto de conexión de VPC para acceder al servicio de punto de conexión. La política de punto de conexión de VPC predeterminada permite que todas las entidades principales realicen todas las acciones en todos los recursos del punto de conexión de VPC.

Estados del punto de conexión

Cuando se crea un punto de conexión de VPC, el servicio de punto de conexión recibe una solicitud de conexión. El proveedor del servicio puede aceptar o rechazar la solicitud. Si el proveedor del servicio acepta la solicitud, el consumidor del servicio puede utilizar el punto de conexión de VPC una vez que esté en estado Available.

A continuación, se muestran los posibles estados de un punto de conexión de VPC:

  • PendingAcceptance: la solicitud de conexión está pendiente. Este es el estado inicial si las solicitudes se aceptan de forma manual.

  • Pending: el proveedor del servicio ha aceptado la solicitud de conexión. Este es el estado inicial si las solicitudes se aceptan de forma automática. El punto de conexión de VPC vuelve a este estado si el consumidor del servicio modifica el punto de conexión de VPC.

  • Available: el punto de conexión de VPC está disponible para su uso.

  • Rejected: el proveedor del servicio rechazó la solicitud de conexión. El proveedor del servicio también puede rechazar una conexión después de que esté disponible para su uso.

  • Expired: la solicitud de conexión caducó.

  • Failed: el punto de conexión de VPC no está disponible.

  • Deleting: el consumidor del servicio eliminó el punto de conexión de VPC y la eliminación está en curso.

  • Deleted: el punto de conexión de VPC se ha eliminado.

El tráfico de la VPC se envía a un servicio de punto de conexión mediante una conexión entre el punto de conexión de VPC y el servicio de punto de conexión. El tráfico entre un punto final de VPC y un servicio de punto final permanece dentro de la AWS red, sin atravesar la Internet pública.

Un proveedor de servicios agrega permisos para que los consumidores del servicio puedan acceder al servicio de punto de conexión. Los consumidores del servicio inician la conexión y el proveedor de servicios acepta o rechaza la solicitud de conexión.

Con puntos de conexión de VPC de interfaz, los consumidores del servicio pueden utilizar políticas de punto de conexión para controlar qué entidades principales de IAM pueden utilizar un punto de conexión de VPC para acceder a un servicio de punto de conexión.

Zonas alojadas privadas

Una zona alojada es un contenedor de registros DNS que define cómo enrutar el tráfico de un dominio o un subdominio. Con una zona alojada pública, los registros especifican cómo enrutar el tráfico en Internet. Con una zona alojada privada, los registros especifican cómo enrutar el tráfico en las VPC.

Puede configurar Amazon Route 53 para dirigir el tráfico del dominio a un punto de conexión de VPC. Para obtener más información, consulte Enrutamiento del tráfico a un punto de conexión de VPC mediante el nombre de dominio.

Puede usar Route 53 para configurar un DNS de horizonte dividido, en el que se usa el mismo nombre de dominio tanto para un sitio web público como para un servicio de punto final con tecnología. AWS PrivateLink Las solicitudes DNS para el nombre de host público de la VPC del consumidor se resuelven en las direcciones IP privadas de las interfaces de red de punto de conexión, pero las solicitudes desde fuera de la VPC continúan resolviéndose en los puntos de conexión públicos. Para obtener más información, consulte Mecanismos de DNS para dirigir el tráfico y habilitar la conmutación por error para las implementaciones de AWS PrivateLink.