選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

透過 存取虛擬設備 AWS PrivateLink

焦點模式
透過 存取虛擬設備 AWS PrivateLink - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

您可以使用 Gateway Load Balancer,將流量散發給網路虛擬設備的機群。設備可用於安全檢查、合規、政策控制和其他聯網服務。您可以在建立 VPC 端點服務時指定 Gateway Load Balancer。其他 AWS 主體會透過建立 Gateway Load Balancer 端點來存取端點服務。

定價

系統會針對每個可用區域中佈建 Gateway Load Balancer 端點的每個小時向您收費。您也需要為處理的每 GB 資料支付費用。如需詳細資訊,請參閱 AWS PrivateLink 定價

如需詳細資訊,請參閱 Gateway Load Balancer

概觀

下圖顯示應用程式伺服器如何透過 存取安全設備 AWS PrivateLink。應用程式伺服器在服務消費者 VPC 的子網中執行。您可以在相同 VPC 的另一個子網中建立 Gateway Load Balancer 端點。所有透過網際網路閘道進入服務消費者 VPC 的流量會先路由至 Gateway Load Balancer 端點以便進行檢查,然後再路由至目的地子網。同樣,離開應用程式伺服器的所有流量會路由至 Gateway Load Balancer 端點,以便進行檢查,然後再透過網際網路閘道傳回。

使用 Gateway Load Balancer 端點來存取安全設備。
從網際網路到應用程式伺服器的流量 (藍色箭頭):
  1. 流量透過網際網路閘道進入服務消費者 VPC。

  2. 根據路由表組態,將流量傳送至 Gateway Load Balancer 端點。

  3. 流量透過安全設備傳送至 Gateway Load Balancer 進行檢查。

  4. 流量會在檢查之後傳回到 Gateway Load Balancer 端點。

  5. 根據路由表組態,將流量傳送至應用程式伺服器。

從應用程式伺服器到網際網路的流量 (橙色箭頭):
  1. 根據路由表組態,將流量傳送至 Gateway Load Balancer 端點。

  2. 流量透過安全設備傳送至 Gateway Load Balancer 進行檢查。

  3. 流量會在檢查之後傳回到 Gateway Load Balancer 端點。

  4. 根據路由表組態,將流量傳送至網際網路閘道。

  5. 流量會傳回網際網路。

IP 地址類型

服務提供者可以透過 IPv4、IPv6、或者同時使用 IPv4 和 IPv6 向服務取用者提供其服務端點,即使其安全設備僅支援 IPv4 也一樣。如果您啟用雙堆疊支援,現有消費者可以繼續使用 IPv4 存取您的服務,而新客戶可以選擇使用 IPv6 存取您的服務。

如果 Gateway Load Balancer 端點支援 IPv4,則端點網路界面具有 IPv4 地址。如果 Gateway Load Balancer 端點支援 IPv6,則端點網路界面具有 IPv6 地址。無法從網際網路連線端點網路界面的 IPv6 地址。如果您使用 IPv6 地址描述端點網路介面,請注意 denyAllIgwTraffic 已啟用。

為端點服務啟用 IPv6 的要求
  • 端點服務的 VPC 和子網必須具有相關聯的 IPv6 CIDR 區塊。

  • 端點服務的所有 Gateway Load Balancer 都必須使用雙堆疊 IP 地址類型。安全設備不需要支援 IPv6 流量。

為 Gateway Load Balancer 端點啟用 IPv6 的要求
  • 端點服務必須具有包含 IPv6 支援的 IP 地址類型。

  • Gateway Load Balancer 的 IP 地址類型必須與 Gateway Load Balancer 的子網路相容,如下所述:

    • IPv4 - 將 IPv4 地址指派給您的端點網路界面。只有當所有選取的子網都具有 IPv4 地址範圍時,才支援此選項。

    • IPv6 - 將 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網都是 IPv6 子網時,才支援此選項。

    • Dualstack - 將 IPv4 和 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網都具有 IPv4 和 IPv6 地址範圍時,才支援此選項。

  • 服務取用者 VPC 中的子網路路由表必須路由 IPv6 流量,而這些子網路的網路 ACL 必須允許 IPv6 流量。

路由

若要將流量路由至端點服務,請使用其 ID,將 Gateway Load Balancer 端點指定為路由表中的目標。對於上圖,將路由新增到路由表中,如下所示。請注意,雙堆疊組態包含 IPv6 路由。

網際網路閘道的路由表

此路由表必須具有路由,將目的地為應用程式伺服器的流量傳送至 Gateway Load Balancer 端點。

目的地 目標
VPC A IPv4 CIDR 區域
VPC A IPv6 CIDR 區域
應用程式子網路 IPv4 CIDR vpc-endpoint-id
應用程式子網路 IPv6 CIDR vpc-endpoint-id
具有應用程式伺服器的子網路由表

此路由表必須具有路由,將應用程式伺服器傳出的所有流量傳送至 Gateway Load Balancer 端點。

目的地 目標
VPC A IPv4 CIDR 區域
VPC A IPv6 CIDR 區域
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id
具有 Gateway Load Balancer 端點的子網路由表

此路由表必須將檢查傳回的流量傳送至其最終目的地。對於源自網際網路的流量,本機路由會將流量傳送至應用程式伺服器。對於源自應用程式伺服器的流量,請新增路由,將所有流量傳送至網際網路閘道。

目的地 目標
VPC A IPv4 CIDR 區域
VPC A IPv6 CIDR 區域
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id

在本頁面

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。