透過存取虛擬設備 AWS PrivateLink - Amazon Virtual Private Cloud
概觀IP 地址類型路由

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

透過存取虛擬設備 AWS PrivateLink

您可以使用 Gateway Load Balancer,將流量散發給網路虛擬設備的機群。設備可用於安全檢查、合規、政策控制和其他聯網服務。您可以在建立VPC端點服務時指定閘道 Load Balancer。其他 AWS 主體會透過建立 Gateway Load Balancer 端點來存取端點服務。

定價

您需按每個可用區域佈建閘道 Load Balancer 端點的每小時計費。您還需要按處理的 GB 資料計費。如需詳細資訊,請參閱 AWS PrivateLink 定價

目錄

如需詳細資訊,請參閱 Gateway Load Balancer

概觀

下圖顯示應用程式伺服器如何透過存取安全設備 AWS PrivateLink。應用程式伺服器會在服務取用者的子網路中執行VPC。您可以在相同的其他子網路中建立閘道 Load Balancer 端點VPC。VPC透過網際網路閘道進入服務用戶的所有流量都會先路由到閘道 Load Balancer 端點進行檢查,然後路由至目的地子網路。同樣,離開應用程式伺服器的所有流量會路由至 Gateway Load Balancer 端點,以便進行檢查,然後再透過網際網路閘道傳回。

使用 Gateway Load Balancer 端點來存取安全設備。
從網際網路到應用程式伺服器的流量 (藍色箭頭):

  1. 流量通VPC過互聯網網關進入服務消費者。

  2. 根據路由表組態,將流量傳送至 Gateway Load Balancer 端點。

  3. 流量透過安全設備傳送至 Gateway Load Balancer 進行檢查。

  4. 流量會在檢查之後傳回到 Gateway Load Balancer 端點。

  5. 根據路由表組態,將流量傳送至應用程式伺服器。

從應用程式伺服器到網際網路的流量 (橙色箭頭):

  1. 根據路由表組態,將流量傳送至 Gateway Load Balancer 端點。

  2. 流量透過安全設備傳送至 Gateway Load Balancer 進行檢查。

  3. 流量會在檢查之後傳回到 Gateway Load Balancer 端點。

  4. 根據路由表組態,將流量傳送至網際網路閘道。

  5. 流量會傳回網際網路。

IP 地址類型

服務供應商可以將其服務端點提供給服務消費者 IPv4IPv6,或同時IPv4提供給服務消費者IPv6,即使其安全設備僅支援IPv4。如果您啟用 dualstack 支援,現有的消費者可以繼續使用IPv4來存取您的服務,新的消費者可以選擇使用IPv6來存取您的服務。

如果閘道 Load Balancer 端點支援IPv4,則端點網路介面具有IPv4位址。如果閘道 Load Balancer 端點支援IPv6,則端點網路介面具有IPv6位址。端點網路介面的IPv6位址無法從網際網路存取。如果您使用IPv6位址描述端點網路介面,請注意denyAllIgwTraffic已啟用。

為端點服務啟IPv6用的需求

  • 端點服務的VPC和子網路必須有關聯的IPv6CIDR區塊。

  • 端點服務的所有 Gateway Load Balancer 都必須使用雙堆疊 IP 地址類型。安全設備不需要支援IPv6流量。

啟用閘道 Load Balancer 端點IPv6的需求

  • 端點服務必須具有包含IPv6支援的 IP 位址類型。

  • Gateway Load Balancer 的 IP 地址類型必須與 Gateway Load Balancer 的子網路相容,如下所述:

    • IPv4— 為您的端點網路介面指派IPv4位址。只有在所有選取的子網路都有IPv4位址範圍時,才支援此選項。

    • IPv6— 為您的端點網路介面指派IPv6位址。只有當所有選取的子網路都只有子網路時,IPv6才支援此選項。

    • Dualstack — 將IPv4和IPv6位址指派給您的端點網路介面。只有在所有選取的子網路都具有IPv4和IPv6位址範圍時,才支援此選項。

  • 服務用戶中子網路的路由表VPC必須路由IPv6傳送流量,而這些子網路ACLs的網路必須允許IPv6流量。

路由

若要將流量路由至端點服務,請使用其 ID,將 Gateway Load Balancer 端點指定為路由表中的目標。對於上圖,將路由新增到路由表中,如下所示。請注意,IPv6路由包含用於雙堆棧配置。

網際網路閘道的路由表

此路由表必須具有路由,將目的地為應用程式伺服器的流量傳送至 Gateway Load Balancer 端點。

目的地 目標
VPC IPv4 CIDR 區域
VPC IPv6 CIDR 區域
Application subnet IPv4 CIDR vpc-endpoint-id
Application subnet IPv6 CIDR vpc-endpoint-id
具有應用程式伺服器的子網路由表

此路由表必須具有路由,將應用程式伺服器傳出的所有流量傳送至 Gateway Load Balancer 端點。

目的地 目標
VPC IPv4 CIDR 區域
VPC IPv6 CIDR 區域
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id
具有 Gateway Load Balancer 端點的子網路由表

此路由表必須將檢查傳回的流量傳送至其最終目的地。對於源自網際網路的流量,本機路由會將流量傳送至應用程式伺服器。對於源自應用程式伺服器的流量,請新增路由,將所有流量傳送至網際網路閘道。

目的地 目標
VPC IPv4 CIDR 區域
VPC IPv6 CIDR 區域
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id