Usare AWS PrivateLink con Marketplace AWS - Marketplace AWS
IntroduzioneConfigurazione del prodottoInvio del prodotto a Marketplace AWSAccesso degli acquirenti agli endpoint VPCAppendice: Liste di controllo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Usare AWS PrivateLink con Marketplace AWS

Marketplace AWS support AWS PrivateLink, una tecnologia che ti consente di utilizzare la rete Amazon per fornire agli acquirenti l'accesso ai prodotti tramite cui vendi Marketplace AWS. Questo documento descrive il processo di configurazione e distribuzione dei prodotti tramite un endpoint Amazon Virtual Private Cloud (VPC) che utilizza la tecnologia. AWS PrivateLink

In questo documento, si presuppone che tu abbia una conoscenza pratica di diversi AWS servizi e dell'ambiente. Marketplace AWS

Introduzione

In qualità di Marketplace AWS venditore, puoi fornire agli acquirenti l'accesso al tuo servizio tramite un endpoint Amazon VPC. Questo approccio consente agli acquirenti di accedere al tuo servizio attraverso la rete Amazon utilizzando AWS PrivateLinkla tecnologia. Se Marketplace AWS crei e offri questa offerta, gli acquirenti possono scoprire il tuo servizio in Marketplace AWS. I tuoi acquirenti possono anche trovare il tuo prodotto nell'elenco dei servizi disponibili per la creazione di un endpoint VPC.

Un endpoint VPC è un dispositivo virtuale che consente AWS ai clienti di creare una connessione privata tra il proprio VPC e un altro AWS servizio senza richiedere l'accesso su Internet, tramite un dispositivo NAT, una connessione VPN o. AWS Direct Connect Puoi creare un servizio endpoint Marketplace AWS che consenta agli acquirenti di utilizzare questa tecnologia per connettersi al tuo servizio. Questo metodo di connessione è più sicuro per i tuoi acquirenti perché accedono al tuo servizio tramite la rete privata Amazon anziché tramite Internet.

Per ogni regione in cui desideri offrire il tuo servizio, crei o utilizzi le risorse esistenti per configurare un VPC, configurare le istanze del servizio, configurare un bilanciamento del carico di rete e registrare i tuoi servizi con il sistema di bilanciamento del carico di rete creando un endpoint di servizio. Dopo aver completato questi passaggi e aver testato l'offerta, fornisci le informazioni di configurazione al team Operativo del venditore.Marketplace AWS

AWS consiglia di fornire un nome DNS privato che gli acquirenti possano utilizzare quando creano endpoint VPC.

Quando gli acquirenti creano i propri endpoint VPC, hanno la possibilità di abilitare un nome DNS privato. Scegliendo questa opzione, il servizio VPC dell'acquirente configura una zona ospitata privata. Se fornisci il nome DNS privato, gli acquirenti possono utilizzarlo per configurare gli endpoint VPC per connettersi al tuo servizio. Nella zona ospitata privata dell'acquirente, il nome DNS privato (api.example.com) punterà ai nomi DNS generati casualmente (vpce-1-yyyyyyyy.api.vpce.example.com) creati per i tuoi servizi endpoint. Le istanze EC2 dell'acquirente chiamano lo stesso nome DNS unificato (api.example.com) su diversi VPC. Inoltre, se i nomi DNS pubblici e privati coincidono, l'acquirente può utilizzare lo stesso nome pubblico quando accede al servizio dall'interno o dall'esterno del VPC.

Per ricevere assistenza su come rendere disponibile il servizio tramite Marketplace AWS, puoi contattare il team Operativo del Marketplace AWS venditore. Quando un Marketplace AWS acquirente si abbona al tuo servizio e crea un endpoint VPC, il servizio viene visualizzato nella sezione I tuoi servizi AWS Marketplace. Il team Marketplace AWS Seller Operations utilizza il nome DNS intuitivo per facilitare l'individuazione del tuo servizio durante la creazione dell'endpoint VPC.

Il prodotto è stato creato come prodotto SaaS (Software as a Service). La misurazione e la fatturazione sono le stesse degli altri prodotti SaaS Marketplace AWS .

Configurazione del prodotto

Per configurare il prodotto in modo che sia disponibile tramite un endpoint Amazon VPC:

  1. Crea o usa un Amazon VPC esistente.

  2. Crea (o usa istanze Amazon EC2 esistenti) per il tuo prodotto.

  3. Crea un sistema di bilanciamento del carico di rete in ciascuna delle regioni in cui offri il tuo prodotto. AWS consiglia di includere tutte le zone di disponibilità (AZ) di una regione.

  4. Usa la console Amazon VPC, la CLI o gli SDK supportati per creare un servizio endpoint VPC.

  5. Verifica di poter accedere al servizio tramite il sistema di bilanciamento del carico di rete.

  6. Richiedi un certificato a AWS Certificate Manager (ACM) per il tuo nome DNS intuitivo. Prima di emettere un certificato, ACM convalida la proprietà e il controllo dei nomi di dominio nella richiesta di certificato.

  7. Delega il sottodominio del tuo nome DNS intuitivo, ad esempio api.vpce.example.com, ai server dei nomi forniti dal team Operativo del venditore. Marketplace AWS Nel tuo sistema DNS, devi creare un record di risorse del name server (NS) per indirizzare questo sottodominio ai server dei nomi Amazon Route 53 forniti dal team Marketplace AWS Seller Operations in modo che i nomi DNS (come vpce-0ac6c347a78c90f8.api.vpce.example.com) siano risolvibili pubblicamente.

  8. AWS Consenti l'accesso agli account dei tuoi acquirenti.

    Nota: puoi utilizzare un SDK supportato o questo comando CLI per automatizzare l'accesso agli account: aws modify-vpc-endpoint-service vpcev2 -permissions --service-id vpce-svc-0123456789abcdef1 -- arn:aws:iam: :66661111:root arn:aws:iam: :222222222222:root. add-allowed-principals

Invio del prodotto a Marketplace AWS

Durante il processo di pubblicazione del servizio a Marketplace AWS, collabori con il team Operativo del Marketplace AWS venditore. Per inviare il tuo prodotto PrivateLink abilitato all'uso:

  1. Invia tramite e-mail le seguenti informazioni al team Operativo Marketplace AWS del venditore:

    1. L'endpoint e l' AWS account utilizzati per creare l'endpoint. L'endpoint è simile al seguente: com.amazonaws.vpce.us-east-1.vpce-svc-0daa010345a21646

    2. Il nome DNS intuitivo per il tuo servizio. Questo è il nome DNS utilizzato Marketplace AWS dagli acquirenti per accedere al tuo prodotto.

    3. L' AWS account utilizzato per richiedere i certificati e il nome DNS privato utilizzato dagli acquirenti per accedere all'endpoint VPC.

      Il team Marketplace AWS Seller Operations verifica l'identità della tua azienda e il nome DNS da utilizzare per il servizio che stai registrando (ad esempio api.vpce.example.com). Dopo la verifica, il nome DNS sostituisce il nome DNS dell'endpoint di base predefinito.

Accesso degli acquirenti agli endpoint VPC

Marketplace AWS gli acquirenti che stanno creando un endpoint VPC possono scoprire il tuo servizio in queste situazioni:

  • Hai seguito i processi di vendita descritti in precedenza in questa pagina per creare o utilizzare un prodotto esistente.

  • L'acquirente si abbona al tuo servizio.

  • Hai aggiunto l' AWS account dell'acquirente all'elenco degli account consentiti.

Quando l'acquirente crea l'endpoint VPC, ha la possibilità di associare una zona ospitata privata al proprio VPC. La zona ospitata contiene un set di record per il nome DNS privato predefinito per il servizio che si risolve nell'indirizzo IP privato delle interfacce di rete degli endpoint nel relativo VPC.

Qualsiasi endpoint ospitato dall'acquirente, compresi Marketplace AWS i servizi, può fornire autorizzazioni a tutti gli account (l'autorizzazione «*»). Tuttavia, quando utilizzi questo approccio, i servizi non sono inclusi nelle chiamate o nella console Descrivi a meno che non effettui la ricerca in base al nome del servizio. Per visualizzare i servizi nelle chiamate Descrivi, l' AWS account dell'acquirente deve essere aggiunto esplicitamente all'elenco degli account consentiti dal servizio.

Per accedere al tuo servizio, gli acquirenti effettuano le seguenti operazioni:

  1. Scopri e iscriviti al tuo servizio su Marketplace AWS.

  2. Usa AWS Command Line Interface (AWS CLI), l'API o la console Amazon VPC per scoprire il tuo servizio e poi stabilisci un endpoint VPC per connetterti al tuo servizio nelle sottoreti e nelle AZ che utilizzano. Gli endpoint vengono visualizzati come interfacce di rete elastiche nelle sottoreti. Gli indirizzi IP locali e i nomi DNS regionali e zonali vengono assegnati agli endpoint.

Nome DNS sul lato client Nome

Regionale

Vpce <0dc9a211a78c90f8>.api.vpce.example.com

IAD2 (1a)

us-east-1a -Vpce.api.vpce.example.com <0dc9a211a78c90f8>

IAD2 (1 b)

us-east-1b -Vpce.api.vpce.example.com <0dc9a211a78c90f8>

Se hai fornito un nome DNS privato predefinito e l'acquirente sceglie Abilita nome DNS privato (associato a una zona ospitata privata) durante la creazione di un endpoint VPC, l'acquirente vede il nome DNS privato predefinito regionale per connettersi al tuo servizio.

Nome Alias Alias (ID della zona ospitata) (Note)
api.example.com <0dc9a211a78c90f8>vpce. api.vpce.example.com Z00AABBCCDD

IAD1

IAD 2

Appendice: Liste di controllo

Utilizza le seguenti liste di controllo per assicurarti di configurare e testare il prodotto prima di inviarlo al team Operativo del Marketplace AWS venditore.

Lista di controllo per la creazione del prodotto

  • Crea (o usa un VPC esistente) e poi configuralo.

  • Crea e configura un sistema di bilanciamento del carico di rete all'interno del VPC.

  • Registra il tuo servizio con il tuo sistema di bilanciamento del carico di rete creando un servizio endpoint VPC.

  • Fornisci l'ID AWS account che hai utilizzato per configurare l'endpoint VPC al team Operazioni del Marketplace AWS venditore.

  • Fornisci il nome del servizio endpoint predefinito (ad esempio, com.amazonaws.vpce.us-east-1.vpce-svc-0bbb070044a2164) al team Operazioni del venditore. Marketplace AWS

  • Fornisci un nome DNS di servizio intuitivo (obbligatorio) per sostituire il nome DNS del servizio generato casualmente. Richiedi i certificati SSL da ACM per il sottodominio utilizzato per il tuo nome DNS di servizio intuitivo. Fornisci questi certificati e l'ID dell' AWS account che hai usato per richiederli al team Operativo del venditore. Marketplace AWS

  • Consigliato: fornisci un nome DNS privato.

  • Crea un processo per informare e consenti ai tuoi Marketplace AWS acquirenti la possibilità di connettersi al tuo servizio utilizzando la AWS PrivateLink tecnologia. Aggiungi gli ID AWS account dei tuoi acquirenti all'elenco di account consentiti.

Test del prodotto

  • Verifica che il servizio sia configurato e rilevabile.

  • Verifica che il servizio sia rilevabile tramite il sistema di bilanciamento del carico di rete.

  • Verifica che un acquirente possa creare un endpoint VPC e accedere al tuo servizio. Usa un AWS account di tua proprietà diverso da quello che hai usato per configurare il servizio.