使用 Gateway Load Balancer 端點來存取檢查系統 - Amazon Virtual Private Cloud
考量事項必要條件建立端點設定路由管理標籤刪除端點

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Gateway Load Balancer 端點來存取檢查系統

您可以建立 Gateway Load Balancer 端點以連線至 AWS PrivateLink支援的端點服務

對於您從 VPC 中指定的每個子網,我們會在子網中建立端點網路介面,並從子網地址範圍中為其指派私有 IP 地址。端點網路介面是由請求者管理的網路介面;您可以在您的網路介面中檢視 AWS 帳戶,但無法自行管理。

我們會向您收取每小時用量率及資料處理費。如需詳細資訊,請參閱 Gateway Load Balancer 端點定價

考量事項

  • 您只能在服務消費者 VPC 中選擇一個可用區域。您之後無法變更此子網。若要在不同子網中使用 Gateway Load Balancer 端點,則必須建立新的 Gateway Load Balancer 端點。

  • 您可以為每個服務的每個可用區域建立單一 Gateway Load Balancer 端點,但必須選擇 Gateway Load Balancer 支援的可用區域。服務提供者與服務消費者處於不同帳戶時,可將區域名稱 (例如 us-east-1a) 對應至每個 AWS 帳戶中的不同實體可用區域。您可以使用 AZ ID 一致地識別服務的可用區域。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的 AZ ID

  • 必須在服務提供者接受連線請求之後,您才能使用端點服務。服務無法透過 VPC 端點向您的 VPC 中的資源發起請求。端點只會傳回 VPC 中的資源啟動的流量的回應。

  • 每個閘道負載平衡器端點可支援每個可用區域 (AZ) 高達 10 Gbps 的頻寬,並自動擴充至 100 Gbps。

  • 如果端點服務與多個 Gateway Load Balancer 相關聯,則 Gateway Load Balancer 端點在每個可用區域僅與一個負載平衡器建立連線。

  • 若要將流量保留在相同的可用區域內,建議您在要向其傳送流量的每個可用區域中建立 Gateway Load Balancer 端點。

  • 當流量透過 Gateway Load Balancer 端點路由傳送時,不支援 Network Load Balancer 用戶端 IP 保留,即使目標與 Network Load Balancer 位於相同的 VPC 中也一樣。

  • 您的 AWS PrivateLink 資源有配額。如需詳細資訊,請參閱 AWS PrivateLink 配額

必要條件

  • 在可用區域中建立至少具有兩個子網的服務消費者 VPC,您可以從中存取服務。一個子網用於應用程式伺服器,另一個子網用於 Gateway Load Balancer 端點。

  • 若要確認端點服務支援哪些可用區域,請使用主控台或 describe-vpc-endpoint-services 命令描述端點服務。

  • 如果您的資源位於具有網路 ACL 的子網中,請確認網路 ACL 允許端點網路介面和 VPC 中資源之間的流量。

建立端點

使用下列程序建立連線至檢查系統端點服務的 Gateway Load Balancer 端點。

若要使用主控台建立 Gateway Load Balancer 端點

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 選擇建立端點

  4. 針對 Service category (服務類別) 中,選擇​ Other endpoint services (其他端點服務)

  5. 針對 Service Name (服務名稱),請輸入服務名稱,然後選擇 Verify Service (驗證服務)。

  6. 針對 VPC,選取要在其中建立端點的 VPC。

  7. 針對 Subnets (子網路),請選取要在其中建立端點的子網路。

  8. 針對 IP address type (IP 地址類型),從下列選項中選擇:

    • IPv4 - 將 IPv4 地址指派給您的端點網路介面。只有當所有選取的子網都具有 IPv4 地址範圍時,才支援此選項。

    • IPv6 - 將 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網都是 IPv6 子網時,才支援此選項。

    • Dualstack - 將 IPv4 和 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網都具有 IPv4 和 IPv6 地址範圍時,才支援此選項。

  9. (選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。

  10. 選擇建立端點。起始狀態為 pending acceptance

若要使用命令列建立 Gateway Load Balancer 端點

設定路由

使用以下程序為服務消費者 VPC 設定路由表。如此可讓安全設備針對傳送至應用程式伺服器的傳入流量執行安全檢查。如需詳細資訊,請參閱 路由

若要使用主控台設定路由

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Route Tables (路由表)。

  3. 選取網際網路閘道路由表並執行以下操作:

    1. 選擇 Actions (動作)、Edit routes (編輯路由)。

    2. 如果您支援 IPv4,請選擇 Add route (新增路由)。針對 Destination (目的地),請輸入應用程式伺服器子網的 IPv4 CIDR 區塊。針對 Target (目標),請選取 VPC 端點。

    3. 如果您支援 IPv6,請選擇 Add route (新增路由)。針對 Destination (目的地),請輸入應用程式伺服器子網的 IPv6 CIDR 區塊。針對 Target (目標),請選取 VPC 端點。

    4. 選擇儲存變更

  4. 為具有應用程式伺服器的子網選取路由表並執行以下操作:

    1. 選擇 Actions (動作)、Edit routes (編輯路由)。

    2. 如果您支援 IPv4,請選擇 Add route (新增路由)。針對 Destination (目標),輸入 0.0.0.0/0。針對 Target (目標),請選取 VPC 端點。

    3. 如果您支援 IPv6,請選擇 Add route (新增路由)。針對 Destination (目標),輸入 ::/0。針對 Target (目標),請選取 VPC 端點。

    4. 選擇儲存變更

  5. 選取具有 Gateway Load Balancer 端點之子網路的路由表,並執行以下操作:

    1. 選擇 Actions (動作)、Edit routes (編輯路由)。

    2. 如果您支援 IPv4,請選擇 Add route (新增路由)。針對 Destination (目標),輸入 0.0.0.0/0。針對 Target (目標),請選取網際網路閘道。

    3. 如果您支援 IPv6,請選擇 Add route (新增路由)。針對 Destination (目標),輸入 ::/0。針對 Target (目標),請選取網際網路閘道。

    4. 選擇儲存變更

若要使用命令列設定路由

管理標籤

您可標記您的 Gateway Load Balancer 端點,以幫助您根據組織需求進行識別或分類。

若要使用主控台管理標籤

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 選取介面端點。

  4. 選擇 Actions (動作)Manage tags (管理標籤)

  5. 對於要新增的每個標籤,請選擇 Add new tag (新增標籤),然後輸入標籤金鑰和標籤值。

  6. 若要移除標籤,請選擇標籤金鑰和值右側的 Remove (移除)。

  7. 選擇儲存

若要使用命令列來管理標籤

刪除 Gateway Load Balancer 端點

端點結束使用後即可刪除。刪除 Gateway Load Balancer 端點也會刪除端點網路介面。如果路由表中有指向端點的路由,則無法刪除 Gateway Load Balancer 端點。

若要刪除 Gateway Load Balancer 端點

  1. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Endpoints (端點),然後選取您的端點。

  3. 選擇 Actions (動作)Delete Endpoint (刪除端點)

  4. 在確認畫面中,選擇 Yes, Delete (是,刪除)

若要刪除 Gateway Load Balancer 端點