使用接口 VPC 端点访问 AWS 服务。 - Amazon Virtual Private Cloud
前提条件创建 VPC 端点共享子网ICMP

使用接口 VPC 端点访问 AWS 服务。

您可以创建接口 VPC 端点以连接到由 AWS PrivateLink 提供支持的服务,包括许多 AWS 服务。有关概述,请参阅 AWS PrivateLink 概念通过 AWS PrivateLink 访问 AWS 服务

对于您在 VPC 中指定的每个子网,我们将在子网中创建一个端点网络接口,并为其分配子网地址范围内的私有 IP 地址。端点网络接口是由请求者管理的网络接口;您可以在您的 AWS 账户 中查看,但无法自行管理。

您需要根据每小时使用量付费并支付数据处理费用。有关更多信息,请参阅接口端点定价

前提条件

  • 在您的 VPC 中部署将访问 AWS 服务 的资源。

  • 若要使用私有 DNS,您必须为 VPC 启用 DNS 主机名和 DNS 解析。有关更多信息,请参阅《Amazon VPC 用户指南》中的查看和更新 DNS 属性

  • 要为接口端点启用 IPv6,AWS 服务 必须支持通过 IPv6 进行访问。有关更多信息,请参阅 IP 地址类型

  • 为端点网络接口创建一个安全组,允许来自 VPC 资源的预期流量。例如,为确保 AWS CLI 可以向 AWS 服务 发送 HTTPS 请求,安全组必须允许入站 HTTPS 流量。

  • 如果您的资源位于具有网络 ACL 的子网中,请验证网络 ACL 是否允许 VPC 和端点网络接口中的资源之间的流量。

  • 您的 AWS PrivateLink 资源上有配额。有关更多信息,请参阅 AWS PrivateLink 限额

创建 VPC 端点

使用以下过程创建连接到 AWS 服务 的接口 VPC 端点。

为 AWS 服务 创建接口端点

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Endpoints(端点)。

  3. 选择 Create endpoint(创建端点)。

  4. 对于 Service category(服务类别),选择 AWS 服务

  5. 对于 Service name(服务名称),选择服务。有关更多信息,请参阅 与 AWS PrivateLink 集成的 AWS 服务

  6. 对于 VPC,选择您要从中访问 AWS 服务 的 VPC。

  7. 如果您在步骤 5 中选择了 Amazon S3 的服务名称,并且想要配置私有 DNS 支持,则请选择其他设置启用 DNS 名称。当您做出此选择时,其还会自动选择仅对入站端点启用私有 DNS。您只能为 Amazon S3 的接口端点配置带有入站解析器端点的私有 DNS。如果您没有 Amazon S3 的网关端点,并且选择仅为入站端点启用私有 DNS,则在尝试执行此过程的最后一步时会收到错误消息。

    如果您在步骤 5 中为除 Amazon S3 之外的所有服务都选择了服务名称,则表明已选择了其他设置启用 DNS 名称。建议您保留默认值。这可以确保使用公有服务端点的请求(例如通过 AWS SDK 发出的请求)解析到您的 VPC 端点。

  8. Subnets(子网)选项中,为每个可用区选择一个您将从中访问 AWS 服务 的子网。您无法从同一可用区中选择多个子网。有关更多信息,请参阅 子网和可用区

    我们将在您选择的每个子网中创建一个端点网络接口。默认情况下,我们选择子网 IP 地址范围中的 IP 地址,并将其分配给端点网络接口。要为端点网络接口选择 IP 地址,请选择指定 IP 地址,然后输入子网地址范围中的 IPv4 地址。如果端点服务支持 IPv6,您也可以输入子网地址范围中的 IPv6 地址。请注意,子网 CIDR 块中的前四个 IP 地址和最后一个 IP 地址应保留供内部使用,因此您无法将它们指定用于端点网络接口。

  9. 对于 IP address type(IP 地址类型),可从以下选项中进行选择:

    • IPv4 – 将 IPv4 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 地址范围且服务接受 IPv4 请求时,才支持此选项。

    • IPv6 – 将 IPv6 地址分配给端点网络接口。仅当所有选定子网均为仅限 IPv6 的子网且服务接受 IPv6 请求时,才支持此选项。

    • Dualstack(双堆栈)– 将 IPv4 和 IPv6 地址分配给端点网络接口。仅当所有选定子网都具有 IPv4 和 IPv6 地址范围且服务接受 IPv4 和 IPv6 请求时,才支持此选项。

  10. 对于 Security groups(安全组),选择要与 VPC 端点的端点网络接口关联的安全组。默认情况下,我们会关联 VPC 的默认安全组。

  11. 对于 Policy(策略),选择 Full access(完全访问权限)以允许所有主体通过 VPC 端点对所有资源执行所有操作。否则,选择 Custom(自定义)以附加 VPC 端点策略,该策略控制主体通过 VPC 端点对资源执行操作的权限。该选项仅在服务支持 VPC 端点策略时可用。有关更多信息,请参阅 端点策略

  12. (可选)若要添加标签,请选择 Add new tag(添加新标签),然后输入该标签的键和值。

  13. 选择 创建端点

使用命令行创建接口端点

共享子网

您无法在与您共享的子网中创建、描述、修改或删除 VPC 端点。但是,您可以在与您共享的子网中使用 VPC 端点。

ICMP

接口端点不对 ping 请求做出响应。您可以使用 ncnmap 命令来代替。