AWS PrivateLink - 建置可擴展且安全的多VPC AWS 網路基礎設施

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS PrivateLink

AWS PrivateLink在 VPC、AWS 服務和現場部署網路之間提供私有連線,而不會將流量暴露到公用網際網路。由 VPC 端點提供支援的介面 AWS PrivateLink,可讓您輕鬆地跨不同帳戶 AWS 和 VPC 連線到其他服務,大幅簡化您的網路架構。這可讓想要將位於某 AWS 區域 個 VPC (服務提供者) 中的服務/應用程式公開給其他 VPC (消費者) 的客戶,以便只有取用者 VPC 啟動與服務提供者 VPC 連線的方式。其中一個例子是您的私有應用程序訪問服務提供商 API 的能力。

若要使用 AWS PrivateLink,請在 VPC 中為您的應用程式建立 Network Load Balancer,並建立指向該負載平衡器的 VPC 端點服務組態。然後,服務取用者會為您的服務建立介面端點。這會在消費者子網路中建立一個 elastic network interface (ENI),其私有 IP 位址可做為目的地服務之流量的入口點。消費者和服務不需要位於相同的 VPC 中。如果 VPC 不同,取用者和服務提供者 VPC 可能具有重疊的 IP 位址範圍。除了建立介面 VPC 端點以存取其他 VPC 中的服務之外,您還可以建立介面 VPC 端點,透過以下方式私有存取支援的 AWS 服務 AWS PrivateLink,如下圖所示。

使用 Application Load Balancer (ALB) 做為 NLB 的目標,您現在可以將 ALB 進階路由功能與. AWS PrivateLink如需參考架構和詳細設定,請參閱 Network Load Balancer 的應用程式負載平衡器類型目標群組

描述連線到其他 VPC 和 AWS AWS PrivateLink 服務的圖表

AWS PrivateLink 用於連線到其他 VPC 和 AWS 服務

Transit Gateway、VPC 對等互連之間的選擇取決 AWS PrivateLink 於連線能力。

  • AWS PrivateLink— AWS PrivateLink 當您設定用戶端/伺服器時,要允許一或多個取用者 VPC 單向存取特定服務或服務提供者 VPC 或特定服務中的一組執行個體時使用。 AWS 只有在取用者 VPC 中具有存取權的用戶端可以起始與服務提供者 VPC 或 AWS 服務中的服務連線。當兩個 VPC 中的用戶端和伺服器具有重疊的 IP 位址時,這也是一個不錯的選擇,因為在 AWS PrivateLink 用戶端 VPC 內以確保與服務提供者沒有 IP 衝突的方式使用 ENI。您可以透過 VPC 對等互連、VPN、Transit Gateway、雲 AWS PrivateLink 端 WAN 和. AWS Direct Connect

  • VPC 對等互連和 Transit Gateway — 當您想要在 VPC 之間啟用第 3 層 IP 連線時,請使用 VPC 對等互連和 Transit Gateway 道。

    您的架構將包含這些技術的混合,以滿足不同的使用案例。所有這些服務都可以相互組合並運行。例如, AWS PrivateLink 處理 API 樣式的用戶端與伺服器連線、用於處理直接連線需求的 VPC 對等互連需求 (在區域或區域間連線可能仍需要放置群組),以及 Transit Gateway 可簡化大規模 VPC 的連線,以及混合式連線的邊緣整合。