Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Akses Layanan AWS melalui AWS PrivateLink
Anda mengakses Layanan AWS menggunakan titik akhir. Endpoint layanan default adalah antarmuka publik, jadi Anda harus menambahkan gateway internet ke VPC Anda sehingga lalu lintas dapat diperoleh dari VPC ke VPC. Layanan AWS Jika konfigurasi ini tidak sesuai dengan persyaratan keamanan jaringan Anda, Anda dapat menggunakan AWS PrivateLink untuk menghubungkan VPC Anda Layanan AWS seolah-olah mereka berada di VPC Anda, tanpa menggunakan gateway internet.
Anda dapat mengakses secara pribadi Layanan AWS yang terintegrasi dengan AWS PrivateLink menggunakan titik akhir VPC. Anda dapat membangun dan mengelola semua lapisan tumpukan aplikasi Anda tanpa menggunakan gateway internet.
Harga
Anda ditagih untuk setiap jam bahwa titik akhir VPC antarmuka Anda disediakan di setiap Availability Zone. Anda juga ditagih per GB data yang diproses. Untuk informasi selengkapnya, silakan lihat Harga AWS PrivateLink
Daftar Isi
Gambaran Umum
Anda dapat mengakses Layanan AWS melalui titik akhir layanan publik mereka atau terhubung ke Layanan AWS penggunaan AWS PrivateLink yang didukung. Ikhtisar ini membandingkan metode ini.
Akses melalui titik akhir layanan publik
Diagram berikut menunjukkan bagaimana instance mengakses Layanan AWS melalui endpoint layanan publik. Lalu lintas ke instance Layanan AWS dari sebuah subnet publik dialihkan ke gateway internet untuk VPC dan kemudian ke. Layanan AWS Lalu lintas ke Layanan AWS dari instance di subnet pribadi dirutekan ke gateway NAT, lalu ke gateway internet untuk VPC, dan kemudian ke. Layanan AWS Sementara lalu lintas ini melintasi gateway internet, ia tidak meninggalkan jaringan. AWS
Connect melalui AWS PrivateLink
Diagram berikut menunjukkan bagaimana instance mengakses Layanan AWS melalui AWS PrivateLink. Pertama, Anda membuat antarmuka VPC endpoint, yang menetapkan koneksi antara subnet di VPC Anda dan menggunakan antarmuka jaringan. Layanan AWS Lalu lintas yang Layanan AWS ditujukan untuk diselesaikan ke alamat IP pribadi dari antarmuka jaringan endpoint menggunakan DNS, dan kemudian dikirim ke Layanan AWS menggunakan koneksi antara titik akhir VPC dan. Layanan AWS
Layanan AWS menerima permintaan koneksi secara otomatis. Layanan tidak dapat memulai permintaan ke sumber daya melalui titik akhir VPC.
Nama host DNS
Sebagian besar Layanan AWS menawarkan titik akhir Regional publik, yang memiliki sintaks berikut.
protocol://service_code.region_code.amazonaws.comMisalnya, titik akhir publik untuk Amazon CloudWatch di us-east-2 adalah sebagai berikut.
https://monitoring.us-east-2.amazonaws.comDengan AWS PrivateLink, Anda mengirim lalu lintas ke layanan menggunakan titik akhir pribadi. Saat Anda membuat titik akhir VPC antarmuka, kami membuat nama DNS Regional dan zona yang dapat Anda gunakan untuk berkomunikasi dengan VPC Anda. Layanan AWS
Nama DNS Regional untuk titik akhir VPC antarmuka Anda memiliki sintaks berikut:
endpoint_id.service_id.region.vpce.amazonaws.comNama DNS zonal memiliki sintaks berikut:
endpoint_id-az_name.service_id.region.vpce.amazonaws.comSaat Anda membuat antarmuka VPC endpoint untuk sebuah Layanan AWS, Anda dapat mengaktifkan DNS pribadi. Dengan DNS pribadi, Anda dapat terus membuat permintaan ke layanan menggunakan nama DNS untuk titik akhir publiknya, sambil memanfaatkan konektivitas pribadi melalui titik akhir VPC antarmuka. Untuk informasi selengkapnya, lihat Resolusi DNS.
Perintah deskripsi-vpc-endpoints berikut menampilkan entri DNS untuk titik akhir antarmuka.
aws ec2 describe-vpc-endpoints --vpc-endpoint-idvpce-099deb00b40f00e22--query VpcEndpoints[*].DnsEntries
Berikut ini adalah contoh output untuk titik akhir antarmuka untuk Amazon CloudWatch dengan nama DNS pribadi diaktifkan. Entri pertama adalah titik akhir Regional pribadi. Tiga entri berikutnya adalah titik akhir zona pribadi. Entri terakhir berasal dari zona host pribadi tersembunyi, yang menyelesaikan permintaan ke titik akhir publik ke alamat IP pribadi dari antarmuka jaringan titik akhir.
[ [ { "DnsName": "vpce-099deb00b40f00e22-lj2wisx3.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" }, { "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2c.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" }, { "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2a.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" }, { "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2b.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" }, { "DnsName": "monitoring.us-east-2.amazonaws.com", "HostedZoneId": "Z06320943MMOWYG6MAVL9" } ] ]
Resolusi DNS
Catatan DNS yang kami buat untuk titik akhir VPC antarmuka Anda bersifat publik. Oleh karena itu, nama-nama DNS ini dapat diselesaikan secara publik. Namun, permintaan DNS dari luar VPC masih mengembalikan alamat IP pribadi dari antarmuka jaringan titik akhir, sehingga alamat IP ini tidak dapat digunakan untuk mengakses layanan titik akhir kecuali Anda memiliki akses ke VPC.
DNS privat
Jika Anda mengaktifkan DNS pribadi untuk titik akhir VPC antarmuka Anda, dan VPC Anda mengaktifkan nama host DNS dan resolusi DNS, kami membuat zona host pribadi yang tersembunyi dan dikelola untuk Anda. AWS Zona yang dihosting berisi kumpulan catatan untuk nama DNS default untuk layanan yang menyelesaikannya ke alamat IP pribadi antarmuka jaringan titik akhir di VPC Anda. Oleh karena itu, jika Anda memiliki aplikasi yang ada yang mengirim permintaan ke Layanan AWS menggunakan titik akhir Regional publik, permintaan tersebut sekarang melalui antarmuka jaringan titik akhir, tanpa mengharuskan Anda membuat perubahan apa pun pada aplikasi tersebut.
Kami menyarankan Anda mengaktifkan nama DNS pribadi untuk titik akhir VPC Anda. Layanan AWS Ini memastikan bahwa permintaan yang menggunakan titik akhir layanan publik, seperti permintaan yang dibuat melalui AWS SDK, diselesaikan ke titik akhir VPC Anda.
Amazon menyediakan server DNS untuk VPC Anda, yang disebut Resolver Route 53. Resolver Route 53 secara otomatis menyelesaikan nama domain VPC lokal dan merekam di zona host pribadi. Namun, Anda tidak dapat menggunakan Resolver Route 53 dari luar VPC Anda. Jika ingin mengakses titik akhir VPC dari jaringan lokal, Anda dapat menggunakan titik akhir Route 53 Resolver dan aturan Resolver. Untuk informasi selengkapnya, lihat Mengintegrasikan AWS Transit Gateway dengan AWS PrivateLink dan Amazon Route 53 Resolver
Subnet dan Availability Zone
Anda dapat mengonfigurasi titik akhir VPC Anda dengan satu subnet per Availability Zone. Kami membuat antarmuka jaringan endpoint untuk titik akhir VPC di subnet Anda. Kami menetapkan alamat IP ke setiap antarmuka jaringan titik akhir dari subnetnya, berdasarkan jenis alamat IP dari titik akhir VPC. Alamat IP dari antarmuka jaringan endpoint tidak akan berubah selama masa pakai titik akhir VPC-nya.
Dalam lingkungan produksi, untuk ketersediaan dan ketahanan yang tinggi, kami merekomendasikan hal berikut:
-
Konfigurasikan setidaknya dua Availability Zone per titik akhir VPC dan terapkan AWS sumber daya Anda yang harus mengakses Layanan AWS di Availability Zone ini.
-
Konfigurasikan nama DNS pribadi untuk titik akhir VPC.
-
Akses Layanan AWS dengan menggunakan nama DNS Regional, juga dikenal sebagai titik akhir publik.
Diagram berikut menunjukkan titik akhir VPC untuk Amazon CloudWatch dengan antarmuka jaringan titik akhir dalam satu Availability Zone. Ketika sumber daya apa pun di subnet apa pun di VPC mengakses CloudWatch Amazon menggunakan titik akhir publiknya, kami menyelesaikan lalu lintas ke alamat IP antarmuka jaringan titik akhir. Ini termasuk lalu lintas dari subnet di Availability Zone lainnya. Namun, jika Availability Zone 1 terganggu, sumber daya di Availability Zone 2 kehilangan akses ke Amazon CloudWatch.
Diagram berikut menunjukkan titik akhir VPC untuk Amazon CloudWatch dengan antarmuka jaringan titik akhir di dua Availability Zones. Ketika sumber daya apa pun di subnet apa pun di VPC mengakses CloudWatch Amazon dengan menggunakan titik akhir publiknya, kami memilih antarmuka jaringan titik akhir yang sehat, menggunakan algoritma round robin untuk bergantian di antara mereka. Kami kemudian menyelesaikan lalu lintas ke alamat IP dari antarmuka jaringan titik akhir yang dipilih.
Jika lebih baik untuk kasus penggunaan Anda, Anda dapat mengirim lalu lintas dari sumber daya Anda ke Layanan AWS dengan menggunakan antarmuka jaringan titik akhir di Availability Zone yang sama. Untuk melakukannya, gunakan titik akhir zona pribadi atau alamat IP dari antarmuka jaringan titik akhir.
Jenis alamat IP
Layanan AWS dapat mendukung IPv6 melalui titik akhir pribadi mereka bahkan jika mereka tidak mendukung IPv6 melalui titik akhir publik mereka. Titik akhir yang mendukung IPv6 dapat merespons kueri DNS dengan catatan AAAA.
Persyaratan untuk mengaktifkan IPv6 untuk titik akhir antarmuka
-
Layanan AWS Harus membuat titik akhir layanannya tersedia melalui IPv6. Untuk informasi selengkapnya, lihat Lihat dukungan IPv6.
-
Jenis alamat IP dari titik akhir antarmuka harus kompatibel dengan subnet untuk titik akhir antarmuka, seperti yang dijelaskan di sini:
-
IPv4 — Tetapkan alamat IPv4 ke antarmuka jaringan titik akhir Anda. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang alamat IPv4.
-
IPv6 — Tetapkan alamat IPv6 ke antarmuka jaringan titik akhir Anda. Opsi ini didukung hanya jika semua subnet yang dipilih hanya subnet IPv6.
-
Dualstack — Tetapkan alamat IPv4 dan IPv6 ke antarmuka jaringan endpoint Anda. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang alamat IPv4 dan IPv6.
-
Jika antarmuka VPC endpoint mendukung IPv4, antarmuka jaringan endpoint memiliki alamat IPv4. Jika antarmuka VPC endpoint mendukung IPv6, antarmuka jaringan endpoint memiliki alamat IPv6. Alamat IPv6 untuk antarmuka jaringan endpoint tidak dapat dijangkau dari internet. Jika Anda menggambarkan antarmuka jaringan titik akhir dengan alamat IPv6, perhatikan bahwa itu denyAllIgwTraffic diaktifkan.
