View a markdown version of this page

Teilen Sie Ihre Dienste über AWS PrivateLink - Amazon Virtual Private Cloud
-ÜbersichtDNS-HostnamenPrivates DNSSubnetze und Availability ZonesCross-Region ZugriffIP-Adresstypen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Teilen Sie Ihre Dienste über AWS PrivateLink

Sie können Ihren eigenen Dienst AWS PrivateLink , einen sogenannten Endpunktdienst, hosten und ihn mit anderen AWS Kunden teilen.

Inhalt

-Übersicht

Das folgende Diagramm zeigt, wie Sie Ihren gehosteten Dienst AWS mit anderen AWS Kunden teilen und wie diese Kunden eine Verbindung zu Ihrem Dienst herstellen. Als Service-Anbieter erstellen Sie in Ihrer VPC einen Network Load Balancer als Service-Frontend. Anschließend wählen Sie diesen Load Balancer aus, wenn Sie die VPC-Endpunkt-Servicekonfiguration erstellen. Sie erteilen bestimmten AWS -Prinzipalen eine Berechtigung, damit diese eine Verbindung mit Ihrem Service herstellen können. Als Service-Verbraucher erstellt der Kunde einen Schnittstellen-VPC-Endpunkt, der Verbindungen zwischen den Subnetzen, die er aus seiner VPC auswählt, und Ihrem Endpunktservice herstellt. Der Load Balancer empfängt Anforderungen vom Service-Verbraucher und leitet sie an die Ziele weiter, die Ihren Service hosten.

Servicenutzer stellen eine Verbindung zu Endpunktdiensten her, die von Dienstanbietern gehostet werden.

Für niedrige Latenz und Hochverfügbarkeit empfehlen wir, dass Sie Ihren Service in mindestens zwei Availability Zones zur Verfügung stellen.

DNS-Hostnamen

Wenn ein Dienstanbieter einen VPC-Endpunktdienst erstellt, AWS generiert er einen endpunktspezifischen DNS-Hostnamen für den Dienst. Diese Namen haben die folgende Syntax:

endpoint_service_id.region.vpce.amazonaws.com

Das folgende Beispiel zeigt einen DNS-Hostnamen für einen VPC-Endpunkt-Service in der Region us-east-2:

vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com

Wenn ein Service-Verbraucher einen VPC-Schnittstellen-Endpunkt erstellt, erstellen wir regionale und zonale DNS-Namen, die der Service-Verbraucher für die Kommunikation mit dem Endpunkt-Service verwenden kann. Regionale Namen haben die folgende Syntax:

endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com

Zonale Namen haben die folgende Syntax:

endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com

Privates DNS

Ein Service-Anbieter kann seinem Endpunkt-Service auch einen privaten DNS-Namen zuordnen, sodass Service-Verbraucher weiterhin mit ihrem vorhandenen DNS-Namen auf den Service zugreifen können. Wenn ein Service-Anbieter einen privaten DNS-Namen mit einem Endpunkt-Service verknüpft, können Service-Nutzer private DNS-Namen für den Schnittstellenendpunkt aktivieren. Wenn ein Service-Anbieter kein privates DNS aktiviert, müssen die Service-Nutzer möglicherweise die Anwendungen aktualisieren, um den öffentlichen DNS-Namen für den VPC-Endpunkt-Service zu verwenden. Weitere Informationen finden Sie unter DNS-Namen verwalten.

Subnetze und Availability Zones

Ihr Endpunktdienst ist in den Availability Zones verfügbar, die Sie für Ihren Network Load Balancer aktivieren. Für hohe Verfügbarkeit und Ausfallsicherheit empfehlen wir, dass Sie Ihren Load Balancer in mindestens zwei Availability Zones aktivieren, EC2-Instances in jeder aktivierten Zone bereitstellen und diese Instances bei Ihrer Load Balancer-Zielgruppe registrieren.

Sie können den zonenübergreifenden Load Balancing als Alternative zum Hosten Ihres Endpunktdienstes in mehreren Availability Zones aktivieren. Verbraucher verlieren jedoch den Zugriff auf den Endpunktdienst von beiden Zonen aus, wenn die Zone, in der der Endpunktdienst gehostet wird, ausfällt. Beachten Sie auch, dass beim Aktivieren des zonenübergreifenden Lastenausgleichs für einen Network Load Balancer EC2-Datenübertragungsgebühren anfallen.

Der Verbraucher kann VPC-Schnittstellen-Endpunkte in den Availability Zones erstellen, in denen Ihr Endpunktservice verfügbar ist. Wir erstellen in jedem Subnetz, das der Verbraucher für den VPC-Endpunkt konfiguriert, eine Endpunkt-Netzwerkschnittstelle. Wir weisen jeder Endpunkt-Netzwerkschnittstelle aus ihrem Subnetz IP-Adressen zu, basierend auf dem IP-Adresstyp des VPC-Endpunkts. Wenn eine Anfrage den regionalen Endpunkt für den VPC-Endpunktdienst verwendet, wählen wir eine fehlerfreie Endpunkt-Netzwerkschnittstelle aus und verwenden den Round-Robin-Algorithmus, um zwischen den Netzwerkschnittstellen in verschiedenen Availability Zones zu wechseln. Anschließend leiten wir den Datenverkehr an die IP-Adresse der ausgewählten Endpunkt-Netzwerkschnittstelle weiter.

Der Verbraucher kann die zonalen Endpunkte für den VPC-Endpunkt verwenden, wenn es für seinen Anwendungsfall besser ist, den Verkehr in derselben Availability Zone zu halten.

Cross-Region Zugriff

Ein Dienstanbieter kann einen Dienst in einer Region hosten und ihn in einer Reihe unterstützter Regionen verfügbar machen. Ein Servicenutzer wählt bei der Erstellung eines Endpunkts eine Dienstregion aus.

Berechtigungen

  • Standardmäßig sind IAM-Entitäten nicht berechtigt, einen Endpunktdienst in mehreren Regionen verfügbar zu machen oder regionsübergreifend auf einen Endpunktdienst zuzugreifen. Um die für den regionsübergreifenden Zugriff erforderlichen Berechtigungen zu gewähren, kann ein IAM-Administrator IAM-Richtlinien erstellen, die diese Aktion nur mit Berechtigungen zulassen. vpce:AllowMultiRegion

  • Verwenden Sie den Bedingungsschlüssel, um die Regionen zu steuern, die eine IAM-Entität bei der Erstellung eines Endpunktdienstes als unterstützte Region angeben kann. ec2:VpceSupportedRegion

  • Verwenden Sie den ec2:VpceServiceRegion Bedingungsschlüssel, um die Regionen zu steuern, die eine IAM-Entität beim Erstellen eines VPC-Endpunkts als Dienstregion angeben kann.

Überlegungen

  • Ein Dienstanbieter muss sich für eine Opt-in-Region entscheiden, bevor er sie als unterstützte Region für einen Endpunktservice hinzufügen kann.

  • Ihr Endpunktdienst muss von seiner Hostregion aus zugänglich sein. Sie können die Hostregion nicht aus der Gruppe der unterstützten Regionen entfernen. Aus Redundanzgründen können Sie Ihren Endpunktdienst in mehreren Regionen bereitstellen und den regionsübergreifenden Zugriff für jeden Endpunktdienst aktivieren.

  • Ein Servicenutzer muss sich für eine Opt-in-Region entscheiden, bevor er sie als Service-Region für einen Endpunkt auswählen kann. Wann immer möglich, empfehlen wir, dass Servicenutzer über regionsinterne Konnektivität statt über regionsübergreifende Konnektivität auf einen Dienst zugreifen. Intra-Region Konnektivität sorgt für geringere Latenz und geringere Kosten.

  • Wenn ein Dienstanbieter eine Region aus der Gruppe der unterstützten Regionen entfernt, können Servicekunden diese Region nicht als Dienstregion auswählen, wenn sie neue Endpunkte erstellen. Beachten Sie, dass dies den Zugriff auf den Endpunktdienst von bestehenden Endpunkten aus, die diese Region als Dienstregion verwenden, nicht beeinträchtigt.

  • Für eine hohe Verfügbarkeit müssen Anbieter mindestens zwei Availability Zones verwenden. Cross-Region Für den Zugriff müssen Anbieter und Verbraucher nicht dieselben Availability Zones verwenden.

  • Cross-Region Der Zugriff wird für die folgenden Availability Zones nicht unterstützt: use1-az3 usw1-az2apne1-az3,,apne2-az2, undapne2-az4.

  • AWS PrivateLink Verwaltet mit regionsübergreifendem Zugriff den Failover zwischen Availability Zones. Es verwaltet kein regionsübergreifendes Failover.

  • Cross-Region Der Zugriff wird für Network Load Balancer nicht unterstützt, wenn ein benutzerdefinierter Wert für das TCP-Leerlauf-Timeout konfiguriert ist.

  • Cross-Region Der Zugriff wird bei UDP-Fragmentierung nicht unterstützt.

  • Cross-Region Der Zugriff wird nur für Dienste unterstützt, die Sie gemeinsam nutzen. AWS PrivateLink

IP-Adresstypen

Service-Anbieter können ihre Service-Endpunkte Service-Verbrauchern über IPv4, IPv6 oder IPv4 und IPv6 sowohl IPv4 als auch IPv6 zur Verfügung stellen, auch wenn ihre Back-End-Server nur IPv4 unterstützen. Wenn Sie die Dualstack-Support aktivieren, können bestehende Verbraucher weiterhin IPv4 verwenden, um auf Ihren Service zuzugreifen, und neue Verbraucher können IPv6 für den Zugriff auf Ihren Service verwenden.

Wenn ein Schnittstellen-VPC-Endpunkt IPv4 unterstützt, verfügen die Endpunkt-Netzwerkschnittstellen über IPv4-Adressen. Wenn ein Schnittstellen-VPC-Endpunkt IPv6 unterstützt, verfügen die Endpunkt-Netzwerkschnittstellen über IPv6-Adressen. Die IPv6-Adresse für eine Endpunkt-Netzwerkschnittstelle ist aus dem Internet nicht erreichbar. Wenn Sie eine Endpunktnetzwerkschnittstelle mit einer IPv6-Adresse beschreiben, beachten Sie, dass denyAllIgwTraffic aktiviert ist.

Anforderungen zum Aktivieren von IPv6 für einen Endpunkt-Service

  • Die VPC und Subnetze für den Endpunkt-Service müssen IPv6-CIDR-Blöcke haben.

  • Alle Network Load Balancer für den Endpunkt-Service müssen den Dualstack-IP-Adresstyp verwenden. Die Ziele müssen keinen IPv6-Datenverkehr unterstützen. Wenn der Service Quell-IP-Adressen aus dem Header der Version 2 des Proxyprotokolls verarbeitet, muss er IPv6-Adressen verarbeiten.

Anforderungen zum Aktivieren von IPv6 für einen Schnittstellenendpunkt

  • Der Endpunkt-Service muss IPv6-Anfragen unterstützen.

  • Der IP-Adresstyp eines Schnittstellenendpunkts muss mit den Subnetzen für den Schnittstellenendpunkt kompatibel sein, wie hier beschrieben:

    • IPv4 – Weisen Sie Ihren Endpunkt-Netzwerkschnittstellen IPv4-Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze über IPv4-Adressbereiche verfügen.

    • IPv6 – Weisen Sie Ihren Endpunktnetzwerkschnittstellen IPv6-Adressen. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze reine IPv6-Subnetze sind.

    • Dualstack – Zuweisen von IPv4- und IPv6-Adressen zu Ihren Endpunktnetzwerkschnittstellen. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze sowohl IPv4- als auch IPv6-Adressbereiche aufweisen.

IP-Adresstyp des DNS-Eintrags für einen Schnittstellenendpunkt

Der IP-Adresstyp des DNS-Eintrags, den ein Schnittstellenendpunkt unterstützt, bestimmt die von uns erstellten DNS-Einträge. Der IP-Adresstyp des DNS-Eintrags eines Schnittstellenendpunkts muss mit dem IP-Adresstypen für den Schnittstellenendpunkt kompatibel sein, wie hier beschrieben:

  • IPv4 – Erstellen Sie A-Datensätze für die privaten, regionalen und zonalen DNS-Namen. Der IP-Adresstyp muss IPv4 oder Dualstack sein.

  • IPv6 – Erstellen Sie AAAA-Datensätze für die privaten, regionalen und zonalen DNS-Namen. Der IP-Adresstyp muss IPv6 oder Dualstack sein.

  • Dualstack – Erstellen Sie A- und AAAA-Datensätze für die privaten, regionalen und zonalen DNS-Namen. Der IP-Adresstyp muss Dualstack sein.