AWS PrivateLink conceitos - Amazon Virtual Private Cloud
Diagrama de arquiteturaProvedores de serviçoConsumidores do serviçoAWS PrivateLink conexõesZonas hospedadas privadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS PrivateLink conceitos

É possível usar a Amazon VPC para definir uma nuvem privada virtual (VPC), que é uma rede virtual isolada logicamente. Você pode lançar AWS recursos em sua VPC. Você pode permitir que os recursos de sua VPC se conectem a recursos fora dessa VPC. Por exemplo, adicione um gateway da internet à VPC para permitir o acesso à Internet ou adicione uma conexão da VPN para permitir o acesso à rede on-premises. Como alternativa, use AWS PrivateLink para permitir que os recursos em sua VPC se conectem a serviços em outras VPCs usando endereços IP privados, como se esses serviços estivessem hospedados diretamente em sua VPC.

Veja a seguir conceitos importantes que você deve entender ao começar a usar o AWS PrivateLink.

Diagrama de arquitetura

O diagrama a seguir fornece uma visão geral de alto nível de como AWS PrivateLink funciona. Os consumidores do serviço criam endpoints da VPC de interface para se conectar a serviços de endpoint que são hospedados pelos provedores de serviços.

Os consumidores do serviço criam endpoints da VPC de interface para se conectar a serviços de endpoint hospedados pelos provedores de serviços.

Provedores de serviço

O proprietário de um serviço é o provedor de serviços. Os provedores de serviços incluem AWS AWS parceiros e outros Contas da AWS. Os provedores de serviços podem hospedar seus serviços usando AWS recursos, como instâncias do EC2, ou usando servidores locais.

Serviços de endpoint

Um provedor de serviços cria um serviço de endpoint para disponibilizar seu serviço em uma região. Um provedor de serviços deve especificar um balanceador de carga ao criar um serviço de endpoint. O balanceador de carga recebe solicitações de consumidores do serviço e as encaminha ao serviço.

Por padrão, o serviço de endpoint não está disponível aos consumidores do serviço. Você deve adicionar permissões que permitam que AWS entidades específicas se conectem ao seu serviço de endpoint.

Nomes de serviço

Cada serviço de endpoint é identificado por um nome de serviço. O consumidor do serviço deve especificar o nome do serviço ao criar um endpoint da VPC. Os consumidores de serviços podem consultar os nomes dos serviços Serviços da AWS. Os provedores de serviços devem compartilhar os nomes de seus serviços com os consumidores.

Estados do serviço

Estes são estados possíveis para um serviço de endpoint:

  • Pending: o serviço de endpoint está sendo criado.

  • Available: o serviço de endpoint está disponível.

  • Failed: não foi possível criar o serviço de endpoint.

  • Deleting: o provedor de serviços excluiu o serviço de endpoint, e a exclusão está em andamento.

  • Deleted: o serviço de endpoint foi excluído.

Consumidores do serviço

O usuário de um serviço é um consumidor. Os consumidores de serviços podem acessar serviços de endpoint a partir de AWS recursos, como instâncias do EC2, ou de servidores locais.

Endpoints da VPC

O consumidor do serviço cria um endpoint da VPC de interface para conectar a VPC a um serviço de endpoint. O consumidor do serviço deve especificar o nome do serviço de endpoint ao criar um endpoint da VPC. Há vários tipos de endpoints da VPC. Você deve criar o tipo de endpoint da VPC necessário para o serviço de endpoint.

  • Interface: crie um endpoint de interface para enviar o tráfego TCP para um serviço de endpoint. O tráfego destinado ao serviço de endpoint é resolvido usando DNS.

  • GatewayLoadBalancer: crie um endpoint do Gateway Load Balancer para enviar tráfego a uma frota de dispositivos virtuais usando endereços IP privados. Encaminhe o tráfego da VPC ao endpoint do Gateway Load Balancer usando tabelas de rotas. O Gateway Load Balancer distribui o tráfego aos dispositivos virtuais e pode ser escalado conforme a demanda.

Há outro tipo de endpoint da VPC, o Gateway, que cria um endpoint de gateway para enviar tráfego ao Amazon S3 ou ao DynamoDB. Os endpoints de gateway não são usados AWS PrivateLink, ao contrário dos outros tipos de endpoints de VPC. Para ter mais informações, consulte Endpoints de gateway.

Interfaces de rede de endpoint

Uma interface de rede de endpoint é uma interface de rede gerenciada pelo solicitante que serve como ponto de entrada para o tráfego destinado a um serviço de endpoint. Para cada sub-rede que você especificar ao criar um endpoint da VPC, criamos uma interface de rede de endpoint na sub-rede.

Se um endpoint da VPC for compatível com IPv4, suas interfaces de rede do endpoint terão endereços IPv4. Se um endpoint da VPC for compatível com IPv6, suas interfaces de rede do endpoint terão endereços IPv6. Não é possível acessar o endereço IPv6 de uma interface de rede de endpoint pela Internet. Ao descrever um endpoint de interface de rede com um endereço IPv6, observe que denyAllIgwTraffic está habilitado.

Os endereços IP de uma interface de rede de endpoint não mudarão durante a vida útil de seu endpoint da VPC.

Políticas de endpoint

Uma política de endpoint da VPC é uma política de recursos do IAM que você anexa a um endpoint da VPC. Ele determina quais entidades principais poderão usar o endpoint da VPC para acessar o serviço de endpoint. A política padrão de endpoint da VPC permite todas as ações realizadas por todas as entidades principais em todos os recursos sobre o endpoint da VPC.

Estados do endpoint

Quando você cria um endpoint da VPC, o serviço de endpoint recebe uma solicitação de conexão. O provedor de serviços pode aceitar ou rejeitar a solicitação. Se o provedor de serviços aceitar a solicitação, o consumidor do serviço poderá usar o endpoint da VPC depois que ele entrar no estado Available.

Estes são os estados possíveis para um endpoint da VPC:

  • PendingAcceptance: a solicitação de conexão está pendente. Esse será o estado inicial se as solicitações forem aceitas manualmente.

  • Pending: o provedor de serviços aceitou a solicitação de conexão. Esse será o estado inicial se as solicitações forem aceitas automaticamente. O endpoint da VPC retornará a esse estado se o consumidor do serviço modificar o endpoint da VPC.

  • Available: o endpoint da VPC está disponível para uso.

  • Rejected: o provedor de serviços rejeitou a solicitação de conexão. O provedor de serviços também poderá rejeitar uma conexão depois que ela estiver disponível para uso.

  • Expired: a solicitação de conexão expirou.

  • Failed: não foi possível disponibilizar o endpoint da VPC.

  • Deleting: o consumidor do serviço excluiu o endpoint da VPC, e a exclusão está em andamento.

  • Deleted: o endpoint da VPC foi excluído.

O tráfego da sua VPC é enviado para um serviço de endpoint usando uma conexão entre o endpoint da VPC e o serviço de endpoint. O tráfego entre um endpoint VPC e um serviço de endpoint permanece dentro da AWS rede, sem atravessar a Internet pública.

Um provedor de serviços adiciona permissões para que os consumidores possam acessar o serviço de endpoint. O consumidor do serviço inicia a conexão e o provedor aceita ou rejeita as solicitações de conexão.

Com um endpoint da VPC da interface, os consumidores do serviço podem usar políticas de endpoint para controlar quais entidades principais do IAM poderão usar o endpoint da VPC para acessar o serviço de endpoint.

Zonas hospedadas privadas

Uma zona hospedada é um contêiner para registros DNS que define como encaminhar o tráfego a um domínio ou subdomínio. Com uma zona hospedada pública, os registros especificam a forma como você quer encaminhar o tráfego na Internet. Com uma zona hospedada privada, os registros especificam como encaminhar o tráfego nas VPCs.

É possível configurar o Amazon Route 53 para encaminhar o tráfego do domínio a um endpoint da VPC. Para obter mais informações, consulte: Routing traffic to a VPC endpoint using your domain name (Encaminhar tráfego a um endpoint da VPC usando seu nome de domínio).

Você pode usar o Route 53 para configurar o DNS de horizonte dividido, onde você usa o mesmo nome de domínio para um site público e um serviço de endpoint desenvolvido por. AWS PrivateLink As solicitações de DNS para o nome de host público da VPC do consumidor são direcionadas aos endereços IP privados das interfaces de rede do endpoint, mas as solicitações de fora da VPC continuam sendo resolvidas para os endpoints públicos. Para obter mais informações, consulte Mecanismos DNS para encaminhar tráfego e habilitar failover para implantações de AWS PrivateLink.