Services de points de terminaison de VPC (AWS PrivateLink) - Amazon Virtual Private Cloud

Services de points de terminaison de VPC (AWS PrivateLink)

Vous pouvez créer votre propre application dans votre VPC et la configurer comme service à technologie AWS PrivateLink (appelé service de point de terminaison). D'autres mandataires AWS peuvent créer une connexion de leur VPC à votre service de point de terminaison à l'aide d'un point de terminaison de VPC d'interface. Vous êtes le fournisseur du service et les mandataires AWS qui créent des connexions à votre service sont les consommateurs du service.

Présentation

Les étapes générales suivantes permettent de créer un service de point de terminaison.

  1. Créez un Équilibreur de charge du réseau pour votre application dans votre VPC et configurez-le pour chaque sous-réseau (zone de disponibilité) dans lequel le service doit être disponible. L'équilibreur de charge reçoit les demandes des consommateurs du service et les achemine vers votre service. Pour plus d'informations, consultez Premiers pas avec les équilibreurs de charge réseau dans le Guide de l'utilisateur pour les Équilibreurs de charge du réseau. Nous vous recommandons de configurer votre service dans toutes les zones de disponibilité de la région.

  2. Créez une configuration de service de point de terminaison d'un VPC et spécifiez votre Équilibreur de charge du réseau.

La procédure générale suivante permet aux consommateurs de service de se connecter à votre service.

  1. Accordez des autorisations à des consommateurs de service spécifiques (comptes AWS, utilisateurs IAM et rôles IAM) de créer une connexion à votre service de point de terminaison.

  2. Un consommateur de service ayant les autorisations crée un point de terminaison d'interface pour votre service, le cas échéant dans chaque zone de disponibilité dans laquelle vous avez configuré votre service.

  3. Pour activer la connexion, acceptez la demande de connexion de point de terminaison d'interface. Par défaut, les demandes de connexion doivent être acceptées manuellement. Toutefois, vous pouvez configurer les paramètres d'acceptation pour votre point de terminaison de façon à accepter automatiquement les demandes de connexion.

La combinaison des autorisations et des paramètres d'acceptation peut vous aider à contrôler les consommateurs de service (mandataires AWS principals) qui peuvent accéder à votre service. Par exemple, vous pouvez accorder des autorisations à des mandataires sélectionnés auxquels vous faites confiance et accepter automatiquement toutes les demandes de connexion, ou accorder des autorisations à un groupe plus vaste de mandataires et accepter manuellement les demandes de connexion spécifiques auxquelles vous faites confiance.

Dans le schéma suivant, le propriétaire de compte du VPC B est un fournisseur de service et il a un service qui s'exécute sur les instances du sous-réseau B. Le propriétaire de compte du VPC B a un point de terminaison de service (vpce-svc-1234) avec un Équilibreur de charge du réseau associé qui pointe vers les instances du sous-réseau B comme cibles. Les instances du sous-réseau A du VPC A utilisent un point de terminaison d'interface pour accéder aux services du sous-réseau B.


                Utilisation d'un point de terminaison d'interface pour accéder à un service de point de terminaison

À des fins de faible latence et de tolérance aux pannes, nous recommandons d'utiliser un Équilibreur de charge du réseau avec des cibles dans chaque zone de disponibilité de la région AWS. Pour vous aider à atteindre une haute disponibilité pour les consommateurs de service qui utilisent des noms d'hôte DNS zonaux pour accéder au service, vous pouvez activer l'équilibrage de charge entre zones. L'équilibrage de charge entre zones permet à l'équilibreur de charge de répartir le trafic entre les cibles enregistrées dans toutes les zones de disponibilité activées. Pour plus d'informations, consultez Équilibrage de charge entre zones dans le manuel Guide de l'utilisateur pour les Équilibreurs de charge du réseau. Des frais de transfert de données régional peuvent être appliqués à votre compte lorsque vous activez l'équilibrage de charge entre zones.

Dans le diagramme suivant, le propriétaire du VPC B est le fournisseur de services et celui-ci a configuré un Équilibreur de charge du réseau avec des cibles dans deux zones de disponibilité différentes. Le consommateur du service (VPC A) a créé des points de terminaison d'interface dans les mêmes deux zones de disponibilité de son VPC. Les demandes vers le service depuis des instances du VPC A peuvent utiliser l'un ou l'autre des points de terminaison d'interface.


                Utilisation de points de terminaison d'interface pour accéder à un service de point de terminaison

Pour obtenir des exemples de configuration d'un service et permettant aux consommateurs de services d'y accéder via une connexion d'appairage VPC, veuillez consulter Exemples : Services utilisant AWS PrivateLink et l’appairage de VPC.

Considérations sur les zones de disponibilité de service de point de terminaison

Lorsque vous créez un service de point de terminaison, celui-ci est créé dans la zone de disponibilité mappée à votre compte et est indépendant des autres comptes. Lorsque le fournisseur de service et le consommateur sont dans des comptes différents, utilisez l'ID de zone de disponibilité pour identifier de façon unique et cohérente la zone de disponibilité du service de point de terminaison. Par exemple, use1-az1 est l'ID de zone de disponibilité de la région us-east-1 et est mappé au même emplacement dans chaque compte AWS. Pour plus d’informations sur les zones de disponibilité, consultez ID de zone de disponibilité pour vos ressources dans le Guide de l'utilisateur AWS RAM ou utilisez describe-availability-zones.

Lorsque le fournisseur de services et le consommateur ont des comptes différents et utilisent plusieurs zones de disponibilité, et que le consommateur visualise les informations du service de point de terminaison VPC, la réponse inclut uniquement les zones de disponibilité communes. Par exemple, lorsque le compte du fournisseur de services utilise les régions us-east-1a et us-east-1c et le consommateur les régions us-east-1a et us-east-1b, la réponse inclut les services de point de terminaison VPC dans la zone de disponibilité commune, us-east-1a.

Noms DNS d’un service de point de terminaison

Quand vous créez un service de point de terminaison d’un VPC, AWS génère des noms d'hôte DNS spécifiques au point de terminaison que vous pouvez utiliser pour communiquer avec le service. Ces noms incluent l'ID du point de terminaison du VPC, le nom de la zone de disponibilité et le Nom de la région, par exemple, vpce-1234-abcdev-us-east-1.vpce-svc-123345.us-east-1.vpce.amazonaws.com. Par défaut, vos consommateurs accèdent au service avec ce nom DNS et doivent généralement modifier la configuration de l'application.

Si le service de point de terminaison est pour un service AWS ou un service disponible dans le Marketplace AWS, il existe un nom DNS par défaut. Pour les autres services, le fournisseur de services peut configurer un nom DNS privé, afin que les consommateurs puissent accéder au service à l'aide d'un nom DNS existant sans apporter de modifications à leurs applications. Pour de plus amples informations, consultez Noms DNS privés pour les services de point de terminaison.

Les fournisseurs de services peuvent utiliser la clé de contexte de condition ec2:VpceServicePrivateDnsName dans une déclaration de stratégie IAM pour contrôler quels noms DNS privés peuvent être créés. Pour plus d'informations, consultez Actions définies par Amazon EC2 dans la section IAM Guide de l'utilisateur.

Exigences relatives aux noms DNS privés

Les fournisseurs de services peuvent spécifier un nom DNS privé pour un service de point de terminaison nouveau ou existant. Pour utiliser un nom DNS privé, activez la fonctionnalité, puis spécifiez un nom DNS privé. Avant que les consommateurs puissent utiliser le nom DNS privé, vous devez vérifier que vous avez le contrôle du domaine/sous-domaine. Vous pouvez lancer une vérification de propriété de domaine à l'aide la Console Amazon VPC ou de l’API. Une fois la vérification de la propriété du domaine terminée, les consommateurs accèdent au point de terminaison à l'aide du nom DNS privé.

Connexion aux centres de données locaux

Vous pouvez utiliser les types de connexions suivants pour établir une connexion entre un point de terminaison d'interface et votre centre de données sur site :

  • AWS Direct Connect

  • AWS Site-to-Site VPN

Accès aux services via une connexion d'appairage de VPC

Vous pouvez utiliser une connexion d'appairage de VPC avec un point de terminaison de VPC pour autoriser un accès privé aux consommateurs sur l’ensemble de la connexion d'appairage de VPC. Pour plus d'informations, consultez Exemples : Services utilisant AWS PrivateLink et l’appairage de VPC.

Utilisation du protocole proxy pour les informations de connexion

Un Équilibreur de charge du réseau propose des adresses IP source à votre application (votre service). Quand les consommateurs du service envoient du trafic à votre service via un point de terminaison d'interface, les adresses IP source fournies à votre application sont les adresses IP privées des nœuds Équilibreur de charge du réseau et pas les adresses IP des consommateurs du service.

Si vous avez besoin des adresses IP des consommateurs du service et de leurs ID de point de terminaison d'interface correspondants, activez le protocole proxy sur votre équilibreur de charge et obtenez les adresses IP clients à partir de l'en-tête du protocole proxy. Pour plus d'informations, consultez Protocole proxy dans le manuel Guide de l'utilisateur pour les Équilibreurs de charge du réseau.

Restrictions de services de point de terminaison

Pour utiliser les services de points de terminaison, vous devez être conscient des règles et limitations actuelles :

  • Un service de point de terminaison prend uniquement en charge le trafic IPv4 sur TCP.

  • Les consommateurs de services peuvent utiliser les noms d'hôtes DNS spécifiques au point de terminaison pour accéder au service de point de terminaison, ou le nom DNS privé.

  • Si un service de point de terminaison est associé à plusieurs Équilibreur de charge du réseau, pour une zone de disponibilité spécifique, un point de terminaison d'interface établit une connexion avec un seul équilibreur de charge.

  • Pour le service de point de terminaison, l'équilibreur de charge réseau associé peut prendre en charge 55 000 connexions simultanées ou environ 55 000 connexions par minute sur chaque cible unique (adresse IP et port). Si vous dépassez ce nombre de connexions, il y a plus de risque d'erreurs d'attribution de port. Pour résoudre les erreurs d'attribution de port, ajoutez davantage de cibles au groupe cible. Pour de plus amples informations sur les groupes cibles Équilibreur de charge du réseau, veuillez consulter Groupes cibles pour vos équilibreurs de charge réseau et Enregistrement de cibles auprès de votre groupe cible dans le Guide de l'utilisateur pour les Équilibreurs de charge du réseau.

  • Les zones de disponibilité de votre compte peuvent ne pas mapper vers les mêmes emplacements que les zones de disponibilité d’un autre compte. Par exemple, votre zone de disponibilité us-east-1a peut se trouver dans un emplacement différent us-east-1a de celui d'un autre compte. Pour de plus amples informations, veuillez consulter Concepts de régions et de zones de disponibilité. Lorsque vous configurez un service de point de terminaison, celui-ci est configuré dans les zones de disponibilité comme mappé à votre compte.

  • Vérifiez les limites spécifiques au service pour votre service de point de terminaison.

  • Examinez les bonnes pratiques en matière de sécurité et les exemples pour les services de point de terminaison. Pour de plus amples informations, consultez les Bonnes pratiques en matière de stratégies et Contrôle de l'accès aux services avec Points de terminaison d'un VPC.