Créez un service propulsé par AWS PrivateLink

Vous pouvez créer votre propre service alimenté par AWS PrivateLink, connu sous le nom de service de point de terminaison. Vous êtes le fournisseur du service et les principaux AWS qui créent des connexions à votre service sont les consommateurs du service.

Les services de point de terminaison nécessitent un Network Load Balancer (équilibreur de charge de réseau) ou un Gateway Load Balancer (équilibreur de charge de passerelle). L'équilibreur de charge reçoit des requêtes des consommateurs du service et les achemine vers votre service. Dans ce cas, vous allez créer un service de point de terminaison à l'aide d'un équilibreur de charge réseau Network Load Balancer. Pour plus d'informations sur la création d'un service de point de terminaison à l'aide d'un équilibreur de charge de passerelle Gateway Load Balancer, voir Accès à des dispositifs virtuels.

Considérations

• Le service de point de terminaison n'est disponible que dans la Région où vous l'avez créé. Vous pouvez accéder au service de point de terminaison à partir d'autres Régions en utilisant l'appairage VPC.

• Le service de point de terminaison ne prend en charge que le trafic sur TCP.

• Lorsque les consommateurs du service extraient des informations sur un service de point de terminaison, ils ne peuvent voir que les zones de disponibilité qu'ils ont en commun avec le fournisseur du service. Lorsque le fournisseur du service et le consommateur du service se trouvent dans des comptes différents, un nom de zone de disponibilité, tel que us-east-1a, peut être mappé à une zone de disponibilité physique différente dans chaque Compte AWS. Vous pouvez utiliser les identifiants AZ pour identifier de manière cohérente les zones de disponibilité de votre service. Pour plus d'informations, voir Identifiants AZ dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

• Lorsque les consommateurs du service envoient du trafic vers un service via un point de terminaison d'interface, les adresses IP sources fournies à l'application sont les adresses IP privées des nœuds de l'équilibreur de charge, et non les adresses IP des consommateurs du service. Si vous activez le protocole proxy sur l'équilibreur de charge, vous pouvez obtenir les adresses des consommateurs du service et les ID des points de terminaison d'interface à partir de l'en-tête du protocole proxy. Pour de plus amples informations, veuillez consulter le protocole proxy dans le Guide de l'utilisateur des Network Load Balancers.

• Si un service de point de terminaison est associé à plusieurs Network Load Balancers, chaque interface réseau de point de terminaison à un équilibreur de charge. Lorsque la première connexion à partir d'une interface réseau de point de terminaison est lancée, nous sélectionnons au hasard l'un des Network Load Balancers situés dans la même zone de disponibilité que l'interface réseau du point de terminaison. Toutes les demandes de connexion suivantes à partir de cette interface réseau de point de terminaison utilisent l'équilibreur de charge sélectionné. Nous vous recommandons d'utiliser la même configuration d'écouteur et de groupe cible pour tous les équilibreurs de charge d'un service de point de terminaison, afin que les utilisateurs puissent le service quel que soit l'équilibreur de charge choisi.

• Vos AWS PrivateLink ressources sont soumises à des quotas. Pour plus d’informations, consultez AWS PrivateLink quotas.

Prérequis

• Créez un VPC pour votre service de point de terminaison avec au moins un sous-réseau dans chaque zone de disponibilité dans laquelle le service doit être disponible.

• Pour permettre aux consommateurs du service de créer des points de terminaison de VPC d'interface IPv6 pour votre service de terminaison, le VPC et les sous-réseaux doivent être associés à des blocs CIDR IPv6.

• Créez un équilibreur de charge de réseau Network Load Balancer dans votre VPC. Sélectionnez un sous-réseau par zone de disponibilité dans lequel le service doit être disponible pour les consommateurs. Pour une faible latence et tolérance aux pannes, nous vous recommandons de rendre votre service disponible dans toutes les zones de disponibilité de la région.

• Pour permettre à votre service de point de terminaison d'accepter les requêtes IPv6, ses équilibreurs de charge de réseau Network Load Balancer doivent utiliser le type d'adresse IP dualstack. Les cibles n'ont pas besoin de prendre en charge le trafic IPv6. Pour plus d'informations, consultez la section Type d'adresse IP du Guide de l'utilisateur des équilibreurs de charge de réseau Network Load Balancer.

  Si vous traitez les adresses IP sources à partir de l'en-tête du protocole de proxy version 2, vérifiez que vous pouvez traiter les adresses IPv6.

• Lancez des instances dans chaque zone de disponibilité dans laquelle le service doit être disponible et enregistrez-les dans un groupe cible d'équilibreurs de charge. Si vous ne lancez pas d'instances dans toutes les zones de disponibilité activées, vous pouvez activer l'équilibrage de charge entre zones pour prendre en charge les consommateurs du service qui utilisent des noms d'hôte DNS zonaux pour accéder au service. Des frais de transfert régional de données s'appliquent lorsque vous activez l'équilibrage de charge entre zones. Pour plus d'informations, voir Équilibrage de charge entre zones du Guide de l'utilisateur des équilibreurs de charge de réseau Network Load Balancer.

Création d'un service de point de terminaison

Utilisez la procédure suivante pour créer un service de point de terminaison à l'aide d'un équilibreur de charge de réseau Network Load Balancer.

Pour créer un service de point de terminaison à l'aide de la console

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

2. Dans le volet de navigation, choisissez Endpoint Services (Services de point de terminaison).

3. Choisissez Create endpoint service (Créer un service de point de terminaison).

4. Pour Load balancer type (Type d'équilibreur de charge), choisissez Network (Réseau).

5. Pour Équilibreurs de charge disponibles, sélectionnez les Network Load Balancers à associer au service du point de terminaison.

6. Dans la section Require acceptance for endpoint (Acceptation requise pour le point de terminaison), sélectionnez Acceptance required (Acceptation requise) pour exiger que les demandes de connexion à votre service de point de terminaison soient acceptées manuellement. Sinon, ces requêtes sont acceptées automatiquement.

7. Pour Enable private DNS name (Activer le nom DNS privé), sélectionnez Associate a private DNS name with the service (Associer un nom DNS privé au service) pour associer un nom DNS privé que les consommateurs du service peuvent utiliser pour accéder à votre service, puis saisissez le nom DNS privé. Dans le cas contraire, les consommateurs de services peuvent utiliser le nom DNS spécifique au point de terminaison fourni par. AWS Le fournisseur du service doit vérifier qu'il est le propriétaire du domaine de nom DNS privé pour que les consommateurs puissent utiliser le nom DNS privé. Pour plus d’informations, consultez Gestion des noms DNS.

8. Pour Supported IP address types (Types d'adresse IP pris en charge), effectuez l'une des opérations suivantes :

   • Sélectionnez IPv4 – Permettez au service de point de terminaison d'accepter les requêtes IPv4.

   • Sélectionnez IPv6 – Permettez au service de point de terminaison d'accepter les requêtes IPv6.

   • Sélectionnez IPv4 et IPv6 – Permettez au service de point de terminaison d'accepter tant les requêtes IPv4 que les requêtes IPv6.

9. (Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l'identification.

10. Choisissez Créer.

Pour créer un service de point de terminaison à l'aide de la ligne de commande

• create-vpc-endpoint-service-configuration ()AWS CLI

• New-EC2 VpcEndpointServiceConfiguration (Outils pour Windows) PowerShell

Mettre le service de point de terminaison à la disposition des consommateurs du service

AWS les principaux peuvent se connecter à votre service de point de terminaison en privé en créant un point de terminaison VPC d'interface. Les fournisseurs du service doivent faire ce qui suit pour mettre leurs services à la disposition des consommateurs du service.

• Ajoutez des autorisations qui permettent à chaque utilisateur de se connecter à votre service de point de terminaison. Pour plus d’informations, consultez Gestion des autorisations.

• Fournissez au consommateur du service le nom de votre service et les zones de disponibilité prises en charge afin qu'il puisse créer un point de terminaison d'interface pour se connecter à votre service. Pour plus d'informations, voir la procédure suivante.

• Acceptez la demande de connexion au point de terminaison de la part du consommateur du service. Pour plus d’informations, consultez Acceptation ou refus des demandes de connexion.

Connexion à un service de point de terminaison en tant que consommateur du service

Un consommateur du service utilise la procédure suivante pour créer un point de terminaison d'interface afin de se connecter à votre service de terminaison.

Pour créer un point de terminaison d'interface à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

2. Dans le panneau de navigation, choisissez Points de terminaison.

3. Choisissez Créer un point de terminaison.

4. Pour Service category (Catégorie de service), choisissez Other endpoint services (Autres services de point de terminaison).

5. Pour Service name (Nom du service), saisissez le nom du service (par exemple, com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc) et choisissez Verify service (Vérifier le service).

6. Pour VPC, sélectionnez un VPC dans lequel créer le point de terminaison.

7. Pour Subnets (Sous-réseaux), sélectionnez les sous-réseaux (Zones de disponibilité) à partir desquels vous allez accéder au service de point de terminaison.

8. Pour IP address type (Type d'adresse IP), choisissez l'une des options suivantes :

   • IPv4 – Attribuez des adresses IPv4 aux interfaces réseau de vos points de terminaison. Cette option est prise en charge uniquement si tous les sous-réseaux sélectionnés possèdent des plages d'adresses IPv4 et que le service de point de terminaison accepte les requêtes IPv4.

   • IPv6 – Attribuez des adresses IPv6 aux interfaces réseau de vos points de terminaison. Cette option est prise en charge uniquement si tous les sous-réseaux sélectionnés sont des sous-réseaux IPv6 et que le service de point de terminaison accepte les requêtes IPv6.

   • Dualstack – Attribuez à la fois des adresses IPv4 et IPv6 aux interfaces réseau de vos points de terminaison. Cette option est prise en charge uniquement si tous les sous-réseaux sélectionnés possèdent des plages d'adresses IPv4 et IPv6 et que le service de point de terminaison accepte les requêtes IPv4 et IPv6.

9. Dans DNS record IP type (Type d'IP d'enregistrement DNS), choisissez l'une des options suivantes :

   • IPv4 – Créez des enregistrements A pour les noms DNS privés, régionaux et zonaux. Le type d'adresse IP doit être IPv4 ou Dualstack.

   • IPv6 – Créez des enregistrements AAAA pour les noms DNS privés, régionaux et zonaux. Le type d'adresse IP doit être IPv6 ou Dualstack.

   • Dualstack – Créez des enregistrements A et AAAA pour les noms DNS privés, régionaux et zonaux. Le type d'adresse IP doit être Dualstack.

   • Service défini – Créez des enregistrements A pour les noms DNS privés, régionaux et zonaux et des enregistrements AAAA pour les noms DNS régionaux et zonaux. Le type d'adresse IP doit être Dualstack.

10. Pour Groupe de sécurité, sélectionnez les groupes de sécurité à associer aux interfaces réseau du point de terminaison.

11. Choisissez Créer un point de terminaison.

Pour créer un point de terminaison d'interface à l'aide de la ligne de commande

• create-vpc-endpoint (AWS CLI)

• New-EC2 VpcEndpoint (Outils pour Windows) PowerShell