Compartilhe seus serviços por meio de AWS PrivateLink - Amazon Virtual Private Cloud

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compartilhe seus serviços por meio de AWS PrivateLink

Você pode hospedar seu próprio serviço AWS PrivateLink motorizado, conhecido como serviço de endpoint, e compartilhá-lo com outros AWS clientes.

Visão geral

O diagrama a seguir mostra como você compartilha seu serviço hospedado AWS com outros AWS clientes e como esses clientes se conectam ao seu serviço. Como provedor de serviços, crie um Network Load Balancer em sua VPC como o front-end do serviço. Em seguida, selecione esse balanceador de carga ao criar a configuração do serviço de endpoint da VPC. Conceda permissão a entidades principais da AWS específicas para que elas possam se conectar ao serviço. Como consumidor do serviço, o cliente cria um endpoint da VPC de interface, que estabelece conexões entre as sub-redes que ele selecionou da VPC e o serviço de endpoint. O balanceador de carga recebe solicitações do consumidor do serviço e as encaminha aos destinos que hospedam o serviço.


        Os consumidores do serviço criam endpoints da VPC de interface para se conectar aos serviços de endpoint hospedados por provedores de serviços.

Para garantir baixa latência e alta disponibilidade, recomenda-se disponibilizar o serviço em pelo menos duas zonas de disponibilidade.

Nomes de hosts DNS

Quando um provedor de serviços cria um serviço de endpoint VPC, AWS gera um nome de host DNS específico do endpoint para o serviço. Esses nomes apresentam a seguinte sintaxe:

endpoint_service_id.region.vpce.amazonaws.com

Veja a seguir um exemplo de nome de host de DNS para um serviço de endpoint da VPC na região us-east-2:

vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com

Quando um consumidor do serviço cria um endpoint da VPC de interface, criamos nomes DNS regionais e zonais que o consumidor do serviço pode usar para se comunicar com o serviço de endpoint. Os nomes regionais apresentam a seguinte sintaxe:

endpoint_id.endpoint_service_id.region.vpce.amazonaws.com

Os nomes zonais apresentam a seguinte sintaxe:

endpoint_id-zone.endpoint_service_id.region.vpce.amazonaws.com

DNS privado

Um provedor de serviços também pode associar um nome DNS privado ao serviço de endpoint para que os consumidores possam continuar acessando o serviço com o nome DNS existente. Se um provedor de serviços tiver associado um nome de DNS privado ao serviço de endpoint, os consumidores do serviço poderão habilitar nomes de DNS privados para seus endpoints de interface. Se um provedor de serviços não habilitar o DNS privado, talvez os consumidores do serviço precisem atualizar suas aplicações para usar o nome de DNS público para o serviço de endpoint da VPC. Para ter mais informações, consulte Gerenciar nomes DNS.

Tipos de endereço IP

Os provedores de serviços podem disponibilizar os endpoints para consumidores de serviços por IPv4, IPv6 ou ambos, mesmo que os servidores de back-end ofereçam suporte apenas ao IPv4. Se você habilitar o suporte dualstack, os consumidores existentes poderão continuar usando o IPv4 para acessar seu serviço, e os novos consumidores poderão optar por usar o IPv6 para acessar o serviço.

Se um endpoint da VPC de interface for compatível com IPv4, as interfaces de rede do endpoint terão endereços IPv4. Se um endpoint da VPC de interface for compatível com IPv6, as interfaces de rede do endpoint terão endereços IPv6. Não é possível acessar o endereço IPv6 de uma interface de rede de endpoint pela Internet. Se você descrever uma interface de rede de endpoint com um endereço IPv6, observe que denyAllIgwTraffic está habilitado.

Requisitos para habilitar IPv6 para um serviço de endpoint
  • A VPC e as sub-redes do serviço de endpoint devem conter blocos CIDR IPv6 associados.

  • Todos os Network Load Balancers do serviço de endpoint devem usar o tipo de endereço IP dualstack. Os destinos não precisam ser compatíveis com tráfego IPv6. Se o serviço processar endereços IP de origem do cabeçalho do protocolo proxy versão 2, deverá processar endereços IPv6.

Requisitos para habilitar IPv6 para um endpoint de interface
  • O serviço de endpoint precisa ser compatível com solicitações IPv6.

  • O tipo de endereço IP de um endpoint da interface deve ser compatível com as sub-redes do endpoint da interface, conforme descrito aqui:

    • IPv4: atribua endereços IPv4 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas tiverem intervalos de endereços IPv4.

    • IPv6: atribua endereços IPv6 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas forem sub-redes IPv6 apenas.

    • Dualstack: atribua endereços IPv4 e IPv6 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas tiverem intervalos de endereços IPv4 e IPv6.

Tipo de endereço IP do registro DNS para um endpoint da interface

O tipo de endereço IP do registro DNS compatível com um endpoint da interface determina os registros DNS que criamos. O tipo de endereço IP do registro DNS de um endpoint de interface deve ser compatível com o tipo de endereço IP do endpoint da interface, conforme descrito aqui:

  • IPv4: crie registros A para nomes DNS privados, regionais e zonais. O tipo de endereço IP deve ser IPv4 ou Dualstack.

  • IPv6: crie registros AAAA para nomes DNS privados, regionais e zonais. O tipo de endereço IP deve ser IPv6 ou Dualstack.

  • Dualstack: crie registros A e AAAA para nomes DNS privados, regionais e zonais. O tipo de endereço IP deve ser Dualstack.