架构 1：AWS PrivateLink

AWS PrivateLink 是 Amazon Virtual Private Cloud（Amazon VPC）的一项功能，可在 VPC 和 AWS 服务之间提供私有连接。使用 PrivateLink 的网络流量不会通过公共互联网传输，这就减少了来自外部威胁的风险，比如遭受暴力攻击和分布式拒绝服务（DDoS）攻击。它为双方提供了一种无需互联网网关即可建立私有连接的方法。双方都可以部署不受互联网威胁影响的私有 VPC。

要将接口端点连接到其他服务，PrivateLink 使用网络负载均衡器。网络负载均衡器具有可扩展性，每秒可以支持数百万次请求。

您可以跨不同的账户和 VPC 连接服务，并且不需要防火墙规则、路径定义、路由表、互联网网关、VPC 对等连接或托管 CIDR 块。这种网络架构的简化可让您更轻松地管理全局网络。

以下架构图显示了如何使用 PrivateLink 和网络负载均衡器将账户中的端点连接到第三方账户的接口端点，比如软件即服务（SaaS）提供者的账户。第三方账户托管网络负载均衡器。

这种架构是集成第三方服务最常用的方法，因为它在第三方账户和您的账户之间提供了强大的隔离，且无需共享组件。它允许重叠 CIDR 块，这是与外部账户集成时最突出的挑战之一。它还抽象了网络通信路径。但它仅限于 TCP 流量和单向通信。第三方工作负载无法向您的账户发起通信。

并非所有 AWS Partner 都可以使用 PrivateLink 进行集成。要确定您当前或潜在的合作伙伴是否有能力，请参阅 AWS PrivateLink 合作伙伴。

成本考虑因素

• 无论每个可用区中预置的每个 VPC 端点与服务的关联状态如何，均按小时收费。即使端点处于待处理状态，也按小时付费。有关所有可能的服务状态的列表，请参阅 AWS PrivateLink 概念。

• 对于通过 VPC 端点处理的每个 GB 都会收取数据处理费用，无论流量的来源或目的地如何。

有关更多信息，请参阅 AWS PrivateLink 定价。