Crea un servizio fornito da AWS PrivateLink

È possibile creare il proprio servizio basato su AWS PrivateLink, noto come servizio endpoint. Tu sei il provider di servizi e i principali AWS che creano connessioni al servizio sono gli utenti del servizio.

I servizi endpoint richiedono un Network Load Balancer o un Gateway Load Balancer. Il load balancer riceve le richieste dagli utenti del servizio e le instrada al servizio. In questo caso, creerai un servizio endpoint utilizzando un Network Load Balancer. Per ulteriori informazioni sulla creazione di un servizio endpoint utilizzando un Gateway Load Balancer, consulta la pagina Accesso alle appliance virtuali.

Considerazioni

• Un servizio endpoint è disponibile nella regione in cui è stato creato. Puoi accedere al servizio endpoint da altre regioni utilizzando VPC il peering.

• Quando gli utenti del servizio recuperano le informazioni relative a un servizio endpoint, possono visualizzare solo le zone di disponibilità in comune con il provider di servizi. Se il provider di servizi e l'utente si trovano in account diversi, un nome della zona di disponibilità, ad esempio us-east-1a, potrebbe essere mappato a una zona di disponibilità fisica diversa in ciascun Account AWS. Puoi utilizzare AZ IDs per identificare in modo coerente le zone di disponibilità per il tuo servizio. Per ulteriori informazioni, consulta AZ IDs nella Amazon EC2 User Guide.

• Quando gli utenti del servizio inviano traffico al servizio attraverso un endpoint dell'interfaccia, gli indirizzi IP di origine forniti all'applicazione sono gli indirizzi IP privati dei nodi load balancer e non gli indirizzi IP degli utenti del servizio. Se abiliti il protocollo proxy sul load balancer, puoi ottenere gli indirizzi dei consumatori del servizio e gli endpoint IDs dell'interfaccia dall'intestazione del protocollo proxy. Per ulteriori informazioni, vedere Proxy Protocol nel Manuale dell'utente per Network Load Balancers.

• Un Network Load Balancer può essere associato a un singolo servizio endpoint, ma un servizio endpoint può essere associato a più Network Load Balancer.

• Se un servizio endpoint è associato a molteplici Network Load Balancer, ogni endpoint dell'interfaccia di rete è associato a un sistema di bilanciamento del carico. Quando viene avviata la prima connessione da un'interfaccia di rete endpoint, selezioniamo a caso uno dei Network Load Balancer nella stessa zona di disponibilità dell'interfaccia di rete dell'endpoint. Tutte le richieste di connessione successive da questa interfaccia di rete endpoint utilizzano il sistema di bilanciamento del carico selezionato. Consigliamo di utilizzare la stessa configurazione di ascoltatore e gruppo di destinazione per tutti i sistemi di bilanciamento del carico per un servizio endpoint, in modo che i consumatori possano utilizzare il servizio endpoint con successo indipendentemente dal sistema di bilanciamento del carico scelto.

• Le tue risorse sono soggette a quote. AWS PrivateLink Per ulteriori informazioni, consulta AWS PrivateLink quote.

Prerequisiti

• Crea un servizio VPC per gli endpoint con almeno una sottorete in ogni zona di disponibilità in cui il servizio deve essere disponibile.

• Per consentire agli utenti del servizio di creare endpoint di IPv6 interfaccia per il servizio VPC endpoint, le sottoreti VPC e le sottoreti devono avere blocchi associati. IPv6 CIDR

• Crea un Network Load Balancer nel tuo. VPC Seleziona una sottorete per la zona di disponibilità in cui il servizio deve essere reso disponibile agli utenti. Per una bassa latenza e la tolleranza ai guasti, consigliamo di rendere il servizio disponibile in almeno due zone di disponibilità della regione.

• Se il Network Load Balancer dispone di un gruppo di sicurezza, deve consentire il traffico in entrata dagli indirizzi IP dei client. In alternativa, puoi disattivare la valutazione delle regole dei gruppi di sicurezza in entrata per il traffico in transito. AWS PrivateLink Per ulteriori informazioni, consulta Gruppi di sicurezza nella Guida per l'utente di Network Load Balancers.

• Per consentire al servizio endpoint di accettare IPv6 le richieste, i suoi Network Load Balancer devono utilizzare il tipo di indirizzo IP dualstack. Non è necessario che gli obiettivi supportino il traffico. IPv6 Per ulteriori informazioni, consulta la sezione Tipo di indirizzo IP nella Guida per l'utente di Network Load Balancer.

  Se elaborate gli indirizzi IP di origine dall'intestazione del protocollo proxy versione 2, verificate di poter elaborare IPv6 gli indirizzi.

• Avviare le istanze in ogni zona di disponibilità in cui il servizio deve essere disponibile e registrale con un gruppo di destinazione del load balancer. Se non avvii istanze in tutte le zone di disponibilità abilitate, puoi abilitare il bilanciamento del carico tra zone per supportare gli utenti del servizio che utilizzano nomi DNS host zonali per accedere al servizio. Quando abiliti il load balancer su più zone, si applicano i costi di trasferimento dei dati a livello regionale. Per ulteriori informazioni, consulta il bilanciamento del carico tra zone nella Guida per l'utente di Network Load Balancers.

Creazione di un servizio endpoint

Utilizza la procedura seguente per creare un servizio endpoint utilizzando un Network Load Balancer.

Per creare un servizio endpoint tramite la console

1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di navigazione scegli Endpoint Services (Servizi endpoint).

3. Scegli Create Endpoint Service (Crea servizio endpoint).

4. Per Load balancer type (Tipo di load balancer), scegli Network (Rete).

5. In Available load balancers (load balancer disponibili), selezionare i Network Load Balancers da associare al servizio endpoint. Le zone di disponibilità incluse elencano le zone di disponibilità abilitate per i Network Load Balancer selezionati. Il servizio endpoint sarà disponibile in queste zone di disponibilità.

6. In Require acceptance for endpoint (Richiedi accettazione per l'endpoint), seleziona Acceptance required (Accettazione richiesta) per richiedere l'accettazione manuale delle richieste di connessione al servizio endpoint. In caso contrario, queste richieste vengono accettate automaticamente.

7. Per Abilita DNS nome privato, seleziona Associa un DNS nome privato al servizio per associare un DNS nome privato che gli utenti del servizio possano utilizzare per accedere al servizio, quindi inserisci il DNS nome privato. In caso contrario, gli utenti del servizio possono utilizzare il DNS nome specifico dell'endpoint fornito da. AWS Prima che gli utenti del servizio possano utilizzare il DNS nome privato, il fornitore del servizio deve verificare di essere il proprietario del dominio. Per ulteriori informazioni, consulta Gestisci i nomi DNS.

8. Per Supported IP address types (Tipi di indirizzo IP supportati), esegui una delle operazioni seguenti:

   • Seleziona IPv4: abilita il servizio endpoint ad accettare IPv4 le richieste.

   • Seleziona IPv6: abilita il servizio endpoint ad accettare IPv6 le richieste.

   • Seleziona IPv4e IPv6: abilita il servizio endpoint ad accettare entrambe IPv4 le IPv6 richieste.

9. (Facoltativo) Per aggiungere un tag, scegliere Add new tag (Aggiungi nuovo tag) e immettere la chiave e il valore del tag.

10. Selezionare Crea.

Per creare un servizio endpoint utilizzando la riga di comando

• create-vpc-endpoint-service-configurazione ()AWS CLI

• New-EC2VpcEndpointServiceConfiguration(Strumenti per Windows PowerShell)

Rendi il servizio endpoint disponibile agli utenti del servizio

AWS i responsabili possono connettersi al servizio endpoint in modo privato creando un endpoint di interfaccia. VPC Per mettere a disposizione i propri servizi agli utenti, i provider devono eseguire le operazioni seguenti.

• Aggiungere le autorizzazioni che consentono a ciascun utente del servizio di connettersi al servizio endpoint. Per ulteriori informazioni, consulta Gestione delle autorizzazioni.

• Fornire all'utente del servizio il nome del servizio e le zone di disponibilità supportate in modo che possa creare un endpoint dell'interfaccia per connettersi al servizio. Per ulteriori informazioni, consulta Connessione a un servizio endpoint in qualità di utente del servizio.

• Accettare la richiesta di connessione all'endpoint inviata dall'utente del servizio. Per ulteriori informazioni, consulta Accettare o rifiutare le richieste di connessione.

Connessione a un servizio endpoint in qualità di utente del servizio

Un utente del servizio utilizza la procedura seguente per creare un endpoint dell'interfaccia per connettersi al servizio endpoint.

Per creare un endpoint dell'interfaccia mediante la console

1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

2. Nel pannello di navigazione, seleziona Endpoints (Endpoint).

3. Seleziona Crea endpoint.

4. Per Tipo, scegli i servizi Endpoint che utilizzano NLBs e GWLBs.

5. Per Nome servizio, inserisci il nome del servizio (ad esempio,com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc), quindi scegli Verifica servizio.

6. Per VPC, seleziona il servizio VPC da cui accederai al servizio endpoint.

7. Per Sottoreti, seleziona le sottoreti in cui creare interfacce di rete endpoint.

8. Per IP address type (Tipo di indirizzo IP), seleziona una delle opzioni seguenti:

   • IPv4— Assegna IPv4 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate hanno intervalli di IPv4 indirizzi e il servizio endpoint accetta le richieste. IPv4

   • IPv6— Assegna IPv6 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate sono IPv6 solo sottoreti e il servizio endpoint accetta le richieste. IPv6

   • Dualstack: assegna entrambi gli indirizzi E alle interfacce di rete degli endpoint. IPv4 IPv6 Questa opzione è supportata solo se tutte le sottoreti selezionate hanno entrambi intervalli di IPv6 indirizzi IPv4 e il servizio endpoint accetta entrambe le richieste. IPv4 IPv6

9. Per il tipo di IP da DNS record, scegli una delle seguenti opzioni:

   • IPv4— Crea record A per i DNS nomi privati, regionali e zonali. Il tipo di indirizzo IP deve essere IPv4o Dualstack.

   • IPv6— Crea AAAA record per i nomi privati, regionali e zonali. DNS Il tipo di indirizzo IP deve essere IPv6o Dualstack.

   • Dualstack: crea A e AAAA record per i nomi privati, regionali e zonali. DNS Il tipo di indirizzo IP deve essere Dualstack.

   • Servizio definito: crea record A per i nomi privati, regionali e zonali e AAAA record per DNS i nomi regionali e zonali. DNS Il tipo di indirizzo IP deve essere Dualstack.

10. In Security group (Gruppo di sicurezza), selezionare i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint.

11. Seleziona Crea endpoint.

Per creare un endpoint dell'interfaccia mediante la riga di comando

• create-vpc-endpoint (AWS CLI)

• New-EC2VpcEndpoint(Strumenti per Windows) PowerShell