使用 VPC 端點 - AWS Panorama

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 VPC 端點

如果您在沒有網際網路存取權的 VPC 中工作,您可以建立 VPC 端點以與 AWS Panorama 搭配使用。VPC 端點可讓在私有子網路中執行的用戶端在沒有網際網路連線的情況下連線到 AWS 服務。

如需 AWS Panorama 設備使用的連接埠和端點的詳細資訊,請參閱將 AWS Panorama 設備連接到您的網路

建立一個 VPC 端點

若要在 VPC 和 AWS Panorama 之間建立私有連線,請建立 VPC 端點。使用 AWS Panorama 模式不需要 VPC 端點。只有在沒有網際網路存取權的 VPC 中工作時,才需要建立 VPC 端點。當 AWS CLI 或開發套件嘗試連線到 AWS Panorama 時,流量會透過 VPC 端點進行路由。

使用下列設定為 AWS Panorama 建立 VPC 端點

  • 服務名稱com.amazonaws.us-west-2.panorama

  • 類型-接口

VPC 端點使用服務的 DNS 名稱從 AWS 開發套件用戶端取得流量,而無需任何其他設定。如需使用 VPC 端點的詳細資訊,請參閱 Amazon VPC 使用者指南中的介面虛擬私人雲端端點

將應用裝置連接至私有子網路

AWS Panorama 設備可透AWS過私有 VPN 連線與AWS Site-to-Site VPN或連線AWS Direct Connect。透過這些服務,您可以建立延伸至資料中心的私有子網路。應用裝置會連線至私有子網路,並透過 VPC 端點存取AWS服務。

網 Site-to-Site VPN,AWS Direct Connect是用於將資料中心安全地連接到 Amazon VPC 的服務。透過 Site-to-Site VPN,您可以使用市售的網路裝置進行連線。 AWS Direct Connect使用設AWS備進行連接。

將區域網路連線至 VPC 中的私人子網路後,請為下列服務建立 VPC 端點。

設備不需要連線至 AWS Panorama 服務。它會透過中AWS IoT的簡訊管道與 AWS Panorama 進行通訊。

除了 VPC 端點之外,Amazon S3 還AWS IoT需要使用 Amazon 路線 53 私有託管區域。私有託管區域會將流量從子網域 (包括 Amazon S3 存取點和 MQTT 主題的子網域) 路由到正確的 VPC 端點。如需私有託管區域的相關資訊,請參閱 Amazon Route 53 開發人員指南中的使用私有託管區域

如需具有 VPC 端點和私有託管區域的 VPC 組態範例,請參閱。AWS CloudFormation範例範本

AWS CloudFormation範例範本

本指南的 GitHub 儲存庫提供可用來建立資源以搭配 AWS Panorama 使用的AWS CloudFormation範本。這些範本會建立具有兩個私有子網路、一個公用子網路和一個 VPC 端點的 VPC。您可以使用 VPC 中的私有子網路來託管與網際網路隔離的資源。公共子網中的資源可以與私有資源進行通信,但私有資源無法從 Internet 訪問。

範例 vpc-端點. Yml — 私有子網
AWSTemplateFormatVersion: 2010-09-09 Resources: vpc: Type: AWS::EC2::VPC Properties: CidrBlock: 172.31.0.0/16 EnableDnsHostnames: true EnableDnsSupport: true Tags: - Key: Name Value: !Ref AWS::StackName privateSubnetA: Type: AWS::EC2::Subnet Properties: VpcId: !Ref vpc AvailabilityZone: Fn::Select: - 0 - Fn::GetAZs: "" CidrBlock: 172.31.3.0/24 MapPublicIpOnLaunch: false Tags: - Key: Name Value: !Sub ${AWS::StackName}-subnet-a ...

vpc-endpoint.yml範本顯示如何為 AWS Panorama 建立 VPC 端點。您可以使用此端點 AWS Panorama AWS 開發套件或AWS CLI.

範例 虛擬電腦端點. YML — 虛擬私人雲端端點
panoramaEndpoint: Type: AWS::EC2::VPCEndpoint Properties: ServiceName: !Sub com.amazonaws.${AWS::Region}.panorama VpcId: !Ref vpc VpcEndpointType: Interface SecurityGroupIds: - !GetAtt vpc.DefaultSecurityGroup PrivateDnsEnabled: true SubnetIds: - !Ref privateSubnetA - !Ref privateSubnetB PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: "*" Action: - "panorama:*" Resource: - "*"

PolicyDocument是以資源為基礎的權限原則,可定義可透過端點進行的 API 呼叫。您可以修改策略以限制可透過端點存取的動作和資源。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取

vpc-appliance.yml範本顯示如何為 AWS Panorama 設備使用的服務建立 VPC 端點和私有託管區域。

範例 vpc 應用程式 .yml — 具有私有託管區域的 Amazon S3 存取點端點
s3Endpoint: Type: AWS::EC2::VPCEndpoint Properties: ServiceName: !Sub com.amazonaws.${AWS::Region}.s3 VpcId: !Ref vpc VpcEndpointType: Interface SecurityGroupIds: - !GetAtt vpc.DefaultSecurityGroup PrivateDnsEnabled: false SubnetIds: - !Ref privateSubnetA - !Ref privateSubnetB ... s3apHostedZone: Type: AWS::Route53::HostedZone Properties: Name: !Sub s3-accesspoint.${AWS::Region}.amazonaws.com VPCs: - VPCId: !Ref vpc VPCRegion: !Ref AWS::Region s3apRecords: Type: AWS::Route53::RecordSet Properties: HostedZoneId: !Ref s3apHostedZone Name: !Sub "*.s3-accesspoint.${AWS::Region}.amazonaws.com" Type: CNAME TTL: 600 # first DNS entry, split on :, second value ResourceRecords: - !Select [1, !Split [":", !Select [0, !GetAtt s3Endpoint.DnsEntries ] ] ]

範例範本示範如何使用 VPC 範例建立 Amazon VPC 和 Route 53 資源。您可以移除 VPC 資源,並以資源的 ID 取代子網路、安全群組和 VPC ID 的參照,以符合您的使用案例。