本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配使 PrivateLink 用 AWS AWS Marketplace
AWS Marketplace 支持 AWS PrivateLink,一種技術,允許您使用 Amazon 網絡為買家提供訪問您通過銷售的產品 AWS Marketplace。本文件概述使用 AWS PrivateLink 技術透過 Amazon 虛擬私有雲端 (VPC) 端點設定和交付產品的程序。
在本文件中,我們假設您具有多項 AWS 服務和 AWS Marketplace 環境的工作知識。
簡介
身為 AWS Marketplace 賣家,您可以讓買家透過 Amazon VPC 端點存取您的服務。這種方法可讓買家使用AWS PrivateLink技術在 Amazon 網路上存取您的服務。如果你用 AWS Marketplace 來建立和傳送此項服務,買家可以在中找到你的服務 AWS Marketplace。您的買家也可以在建立 VPC 端點的可用服務清單中找到您的產品。
VPC 端點是一種虛擬裝置,可讓 AWS 客戶在其 VPC 與其他 AWS 服務之間建立私人連線,而無需透過網際網路、NAT 裝置、VPN 連線或存取。 AWS Direct Connect您可以通過 AWS Marketplace 以下方式創建端點服務,使買家可以使用此技術連接到您的服務。這種連接方法對您的買家來說更安全,因為他們通過 Amazon 私有網絡而不是通過互聯網訪問您的服務。
對於要提供服務的每個區域,您可以建立或使用現有資源來設定 VPC、設定服務執行個體、設定網路負載平衡器,以及透過建立服務端點向網路負載平衡器註冊服務。完成這些步驟並測試您的提供項目後,請將您的組態資訊提供給AWS Marketplace 賣家營運
AWS 建議您提供私人 DNS 名稱,供購買者在建立 VPC 端點時使用。
當購買者建立其 VPC 端點時,他們可以選擇啟用私人 DNS 名稱。選擇此選項後,買方的 VPC 服務即可設定私有託管區域。如果您提供私人 DNS 名稱,購買者可以在設定 VPC 端點連線至您的服務時使用該名稱。在購買者的私人託管區域中,私人 DNS 名稱 (例如) 會指向為您的端點服務建立的隨機產生的 DNS 名稱。買方的 EC2 執行個體會在不同的 VPC 上呼叫相同的統一 DNS 名稱 (api.example.com)。此外,如果公用和私人 DNS 名稱相同,則購買者可以在從 VPC 內部或外部存取您的服務時使用相同的公用名稱。
如需協助您透過以下方式提供服務 AWS Marketplace,請聯絡AWS Marketplace 賣家營運
您的產品會建立為軟體即服務 (SaaS) 產品。計量和計費與其他 AWS Marketplace SaaS 產品相同。
設定您的產品
若要將您的產品設定為可透過 Amazon VPC 端點取得:
-
建立或使用現有的 Amazon VPC
。 -
為您的產品建立 (或使用現有的) Amazon EC2 執行個
體。 -
使用 Amazon VPC 主控台、CLI 或支援的開發套件建立 VPC 端點服務。
-
確認您可以透過網路負載平衡器存取服務。
-
從 AWS Certificate Manager (ACM) 要求憑證,提供您使用者易於使用的 DNS 名稱。ACM 發行憑證前,會先驗證您是否擁有或控制憑證請求中的網域名稱。
-
將您使用者易用的 DNS 名稱的子網域 (例如 api.vpce.example.com) 委派給賣家營運團隊提供給您的名稱伺服器。 AWS Marketplace 在您的 DNS 系統中,您必須建立名稱伺服器 (NS) 資源記錄,將此子網域指向 AWS Marketplace 賣方營運團隊提供的 Amazon 路線 53 名稱伺服器,以便 DNS 名稱 (例如 vpce-0ac6c347a78c90f8.api.vpce.example.com) 可公開解析。
-
允許訪問買家的 AWS 帳戶。
注意:您可以使用受支援的開發套件或此 CLI 命令來自動存取帳戶:AWS vpcev2 modify-vpc-endpoint-service-權限-服務識別碼 vpce-svc-0123456789cdef1-雲:aw:: add-allowed-principals
提交您的產品 AWS Marketplace
在將服務發佈到的過程中 AWS Marketplace,您可以與 AWS Marketplace 賣家營運團隊合作。若要提交 PrivateLink已啟用的產品:
-
請將下列資料傳送給AWS Marketplace 賣家營運
團隊: -
用於建立端點的端點和 AWS 帳戶。端點是類似於這樣的:我們東部-1.vpp-SVC-0DA345a21646
-
您服務的使用者易記的 DNS 名稱。這是 AWS Marketplace 買家用來存取您產品的 DNS 名稱。
-
您用來要求憑證的 AWS 帳戶,以及用來存取 VPC 端點的私人 DNS 名稱購買者。
AWS Marketplace 賣家營運團隊會驗證貴公司的身分,以及用於註冊服務的 DNS 名稱 (例如 api.vpce.example.com)。驗證後,DNS 名稱會覆寫預設的基礎端點 DNS 名稱。
-
購買者存取 VPC 端點
AWS Marketplace 建立 VPC 端點的購買者可以在下列情況下探索您的服務:
-
你已按照本頁前面所述的賣家程序建立或使用現有產品。
-
買家訂閱了你的服務。
-
您已將買家 AWS 帳戶新增至允許的帳戶清單。
購買者建立 VPC 端點時,可以選擇將私有託管區域與其 VPC 建立關聯。託管區域包含一個記錄集,用於服務的預設私有 DNS 名稱,該名稱可解析為其 VPC 中端點網路介面的私有 IP 位址。
任何買家託管的端點 (包括 AWS Marketplace 服務) 都可以提供所有帳戶的權限 (以下稱「*」權限)。不過,當您使用此方法時,除非您依服務名稱進行搜尋,否則服務不會包含在 [描述呼叫] 或 [主控台] 中。若要在「描述」呼叫中顯示服務,必須由服務明確將購買者的 AWS 帳戶新增至允許清單。
若要存取您的服務,買家請執行下列動作:
-
發現並訂閱您的服務 AWS Marketplace。
-
使用 AWS Command Line Interface (AWS CLI)、API 或 Amazon VPC 主控台探索您的服務,然後建立 VPC 端點,以便在其使用的子網路和 AZ 中連線到您的服務。端點會在子網路中顯示為彈性網路介面。本機 IP 位址、區域及區域 DNS 名稱會指派給端點。
| 用戶端 DNS 名稱 | 名稱 |
|---|---|
|
區域性 |
<0dc9a211a78c90f8>Vpce .api.vpce. 例子 |
|
民間舞蹈綜合症 2 (1A) |
美國東部 <0dc9a211a78c90f8>1A-虛擬電腦網站 |
|
民間演藝學 2 (1b) |
美國東部 <0dc9a211a78c90f8>1b-影像素材. |
如果您提供了預設的私人 DNS 名稱,而購買者在建立 VPC 端點時選擇了「啟用私人 DNS 名稱」(相關聯的私有託管區域),則購買者會看到地區預設私人 DNS 名稱以連線到您的服務。
| 名稱 | Alias (別名) | 別名託管區域 ID | (注意事項) |
|---|---|---|---|
| api.example.com | <0dc9a211a78c90f8>vpce. 影像例子. | Z00ABCCDD |
國際航空 1 國際航空 |
附錄:檢查清單
請使用下列檢查清單,確保您已設定並測試您的產品,然後再將產品提交給 AWS Marketplace 賣家營運團隊。
產品建立清單
-
建立 (或使用現有的) VPC,然後對其進行設定。
-
在 VPC 內建立和設定網路負載平衡器。
-
透過建立 VPC 端點服務向網路負載平衡器註冊您的服務。
-
請將您用來設定 VPC 端點的 AWS 帳戶 ID 提供給 AWS Marketplace 賣家作業團隊。
-
向賣家營運團隊提供預設的端點服務名稱 (例如: AWS Marketplace
-
提供易於使用的服務 DNS 名稱 (必要),以覆寫隨機產生的服務 DNS 名稱。針對用於使用者易記服務 DNS 名稱的子網域,向 ACM 要求 SSL 憑證。請將這些證書和用於請求這些證書的 AWS 帳戶 ID 提供給 AWS Marketplace 賣家營運團隊。
-
建議:提供私人 DNS 名稱。
-
建立一個程序,讓 AWS Marketplace 買家可以選擇使用 AWS PrivateLink 技術連線到您的服務。將買家的 AWS 帳戶 ID 新增至您允許的帳戶清單。
產品測試
-
確認您的服務已設定且可被探索。
-
確認可透過網路負載平衡器探索您的服務。
-
確認購買者可以建立 VPC 端點並存取您的服務。使用您所擁有的 AWS 帳戶,而不是您用來設定服務的帳戶。
