集中存取VPC私有端點 - 建立可擴充且安全的多重VPC AWS 網路基礎架構
界面 VPC 端點跨區域端點存取 AWS Verified Access

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

集中存取VPC私有端點

VPC端點可讓您以私密方式連線VPC至支援的AWS服務,而不需要網際網路閘道、NAT裝置、VPN連線或 AWS Direct Connect 連線。因此,您不VPC會暴露在公共互聯網上。您中的執行個體VPC不需要公用 IP 位址即可與具有此介面端點的AWS服務端點通訊。您VPC與其他服務之間的流量不會離開AWS網路骨幹。VPC端點是虛擬裝置。它們是水平縮放、備援和高可用性的VPC元件。目前可佈建兩種端點類型:介面端點 (由支援 AWS PrivateLink) 和閘道端點。閘道端點可用於私下存取 Amazon S3 和亞馬遜 DynamoDB 服務。使用閘道端點不需額外付費。需支付標準數據傳輸與資源使用費。

界面 VPC 端點

介面端點由一或多個具有私有 IP 位址的彈性網路介面組成,該網路介面可做為目標至支援 AWS 服務之流量的進入點。佈建介面端點時,會產生端點每小時執行的費用以及資料處理費用。根據預設,您可以在每VPC一個您想要存取 AWS 服務的介面端點中建立介面端點。在客戶希望跨多個特定AWS服務進行互動的著陸區設置中,這可能是成本高昂且具有挑戰性的。VPCs為了避免這種情況,您可以在集中託管接口端點VPC。所有支點都VPCs會透過 Transit Gateway 使用這些集中式端點。

當您建立 AWS 服務的VPC端點時,您可以啟用私有DNS。啟用時,此設定會建立AWS受管理的 Route 53 私有託管區域 (PHZ),以便將公用 AWS 服務端點解析為介面端點的私有 IP。受管理PHZ僅適VPC用於介面端點。在我們的設置中,當我們希VPCs望輻條能夠解決集中DNS託管的VPC端點時VPC,託管將PHZ無法正常工作。若要解決這個問題,請停用在建立介面端點DNS時自動建立私有的選項。接下來,手動建立與服務端點名稱相符的 Route 53 私有託管區域,並新增具有完整 AWS 服務 端點名稱指向介面端點的別名記錄。

  1. 登入 AWS Management Console 並瀏覽至路線 53。

  2. 選取私人託管區域,然後導覽至「建立記錄」。

  3. 填入「記錄名稱」欄位,選取「記錄類型」作為 A,然後啟用「名」。

    請注意,某些服務 (例如 Docker 和用OCI戶端端點 (dkr.ecr),需要使用萬用字元別名 (*) 作為記錄名稱

  4. 在將流量路由到部分下,選擇流量應發送到的服務,然後從下拉列表中選擇區域。

  5. 選取適當的路由原則,並啟用評估目標健全狀況的選項。

您可以此私人託管區域與著陸區VPCs內的其他區域建立關聯。此組態允許分支VPCs將全方位服務端點名稱解析為在集中式介面端點VPC。

注意

若要存取共用私有託管區域,支點中的主機VPCs應使用其的 Route 53 解析程式 IP。VPC介面端點也可透過 VPN「直 Connect」從內部部署網路存取。使用條件式轉送規則,將全方位服務端點名稱的所有DNS流量傳送至 Route 53 Resolver 入埠端點,這會根據私有託管區域解決DNS要求。

在下圖中,Transit Gateway 會啟用從支點VPCs到集中式介面端點的流量流量。在網絡服務帳戶中為其創建VPC端點和私有託管區域,並與支點帳戶VPCs中的支點共享。如需與其他人共用端點資訊的詳細資訊VPCs,請參閱整合 AWS Transit Gateway AWS PrivateLink 與 Amazon Route 53 解析器部落格文章。

注意

一種分散式VPC端點方法,即每個端點VPC允許您在VPC端點上套用最低權限策略。透過集中式方法,您可以針對單一端點上的所有分支VPC存取套用和管理原則。隨著數量的增加VPCs,使用單一政策文件維持最低權限的複雜性可能會增加。單一原則文件也會產生較大的爆炸半徑。您也受到政策文件的大小限制 (20,480 個字元)。

描述集中介面端點的圖表 VPC

集中化介面端VPC點

跨區域端點存取

如果您想要在共用通用VPC端點的不同區域中進行多個VPCs設定,請使用先前所述的「」。PHZ每個區域VPCs中的兩者都將PHZ與端點的別名相關聯。為了在多區域架構VPCs中路由流量,每個區域的 Transit Gateway 都需要對等。如需詳細資訊,請參閱此部落格:針對跨帳戶多區域架構使用 Route 53 私有託管區域

VPCs您可以使用「傳輸閘道」或「VPC對等互連」將來自不同區域的路由到另一個區域。請使用下列文件來進行對等傳輸閘道:傳輸閘道對等連接附件。

在此範例中,VPCus-west-1區域中的 Amazon EC2 執行個體將使用取PHZ得us-west-2區域中端點的私有 IP 地址,並VPC透過 Transit Gateway 對等或VPC對等互連將流量路由至us-west-2區域。使用此架構時,流量會保留在AWS網路內,讓EC2執行個體安全地存us-west-1取VPC服務,us-west-2而無需透過網際網路。

說明多VPC區域端點的圖表

多區域端點 VPC

注意

存取跨區域的端點時,需要支付區域間資料傳輸費用。

參照上圖,在區域中建立端點服us-west-2務。VPC此端點服務可讓您存取該區域中的AWS服務。為了讓其他區域中的執行個體 (例如us-east-1) 存取us-west-2區域中的端點,您需要在中建立位址記錄,並在中建立PHZ具有所需VPC端點的別名。

首先,請確定每個區域VPCs中的與您建立的區域PHZ相關聯。

在多個可用區域中部署端點時,傳回來源端點的 IP 位址DNS將來自已配置之可用區域中的任何子網路。

呼叫端點時,請使用中的完整網域名稱 (FQDN)。PHZ

AWS Verified Access

AWS Verified Access 在私人網路中提供對應用程式的安全存取,而無需VPN. 它可以實時評估請求,例如身份,設備和位置。該服務授予基於應用程序的策略訪問,並通過提高組織的安全性連接用戶。驗證存取權可做為身分識別感知的反向 Proxy,提供對私有應用程式的存取。在將流量路由到應用程式之前,會先執行使用者身分和裝置健康狀況 (如果適用

下圖提供「已驗證存取權」的高階概觀。使用者傳送存取應用程式的要求。「已驗證存取」會根據群組和任何應用程式特定端點原則的存取原則來評估要求。如果允許存取,則會透過端點將要求傳送至應用程式。

說明已驗證存取權概觀的圖表

已驗證存取概觀

在一個 AWS Verified Access 體系結構的主要組成部分是:

  • 驗證存取執行個體 — 執行個體會評估應用程式要求,並僅在符合安全性需求時授予存取權。

  • 已驗證存取端點 — 每個端點代表一個應用程式。端點可以是NLB,也可以ALB是網絡接口。

  • 已驗證存取群組 — 已驗證存取端點的集合。建議您針對具有類似安全性需求的應用程式將端點分組,以簡化原則管理。

  • 存取原則 — 一組使用者定義的規則,可決定是否允許或拒絕存取應用程式。

  • 信任提供者 —「已驗證存取」是一項有助於管理使用者身分識別和裝置安全性狀態的服務。它與 AWS 和第三方信任提供者相容,要求每個「已驗證存取」執行個體至少附加一個信任提供者。每個執行個體都可以包含單一身分信任提供者以及多個裝置信任提供者。

  • 信任資料 — 每次收到應用程式要求時,信任提供者傳送至「已驗證存取」的安全性資料,例如使用者的電子郵件地址或其所屬群組,都會根據您的存取原則進行評估。

更多詳細資訊可在驗證存取權部落格文章中找到。