AWS Cloud Map 使用接口端点进行访问 (AWS PrivateLink)

您可以使用 AWS PrivateLink 在您的 VPC 和之间创建私有连接 AWS Cloud Map。您可以像在 VPC 中 AWS Cloud Map 一样进行访问，无需使用互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问 AWS Cloud Map。

您可以通过创建由 AWS PrivateLink提供支持的接口端点来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口，用作发往 AWS Cloud Map的流量的入口点。

有关更多信息，请参阅《AWS PrivateLink 指南》中的通过 AWS PrivateLink访问 AWS 服务。

的注意事项 AWS Cloud Map

在为设置接口终端节点之前 AWS Cloud Map，请查看AWS PrivateLink 指南中的注意事项。

如果您的 Amazon VPC 没有互联网网关，并且您的任务使用awslogs日志驱动程序向日志发送日志信息，则必须为 CloudWatch CloudWatch 日志创建接口 VPC 终端节点。有关更多信息，请参阅 Amazon CloudWatch CloudWatch 日志用户指南中的将日志与接口 VPC 终端节点配合使用。

VPC 终端节点不支持 AWS 跨区域请求。确保在计划向 AWS Cloud Map发出 API 调用的同一区域中创建端点。

VPC 端点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS，可以使用条件 DNS 转发。有关更多信息，请参阅 Amazon VPC 用户指南中的 DHCP 选项集。

附加到 Amazon VPC 端点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。

为创建接口终端节点 AWS Cloud Map

您可以创建用于 AWS Cloud Map 使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 的接口终端节点。有关更多信息，请参阅《AWS PrivateLink 指南》中的创建接口端点。

AWS Cloud Map 使用以下服务名称创建接口终端节点：

注意

DiscoverInstancesAPI 将无法在这两个端点上使用。

com.amazonaws.region.servicediscovery

com.amazonaws.region.servicediscovery-fips

使用以下服务名称为 AWS Cloud Map 数据平面创建用于访问 DiscoverInstances API 的接口端点：

com.amazonaws.region.data-servicediscovery

com.amazonaws.region.data-servicediscovery-fips

注意

当您使用数据面板端点的区域或可用区 VPCE DNS 名称调用DiscoverInstances时，您需要禁用主机前缀注入。当您调用每个 API 操作时， AWS CLI 和 AWS 软件开发工具包会在服务终端节点前面添加各种主机前缀，当您指定 VPC 终端节点时，这会生成无效的 URL。

如果为接口端点启用私有 DNS，则可使用其默认区域 DNS 名称向 AWS Cloud Map 发出 API 请求。例如，servicediscovery.us-east-1.amazonaws.com。

任何支持 VPCE AWS PrivateLink 连接的区域 AWS Cloud Map 都支持；但是，在定义终端节点之前，客户需要检查哪些可用区支持 VPCE。要了解某个区域中接口 VPC 终端节点支持哪些可用区，请使用describe-vpc-endpoint-services 命令或使用 AWS Management Console。例如，以下命令返回您可以在美国东部（俄亥俄州）地区将 AWS Cloud Map 接口 VPC 端点部署到的可用区：

aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.servicediscovery`].AvailabilityZones[]'