View a markdown version of this page

Ressourcenkonfiguration für VPC-Ressourcen - Amazon Virtual Private Cloud
Arten von RessourcenkonfigurationenRessourcen-GatewayBenutzerdefinierte Domainnamen für RessourcenanbieterBenutzerdefinierte Domainnamen für RessourcennutzerBenutzerdefinierte Domainnamen für Besitzer von ServicenetzwerkenDefinition der RessourceProtocol (Protokoll)PortbereicheAuf -Ressourcen zugreifenZuordnung zum ServicenetzwerktypArten von ServicenetzwerkenGemeinsame Nutzung von Ressourcenkonfigurationen über AWS RAMÜberwachen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ressourcenkonfiguration für VPC-Ressourcen

Eine Ressourcenkonfiguration stellt eine Ressource oder eine Gruppe von Ressourcen dar, die Sie für Clients in anderen VPCs und Konten zugänglich machen möchten. Durch die Definition einer Ressourcenkonfiguration können Sie private, sichere, unidirektionale Netzwerkkonnektivität von Clients in anderen VPCs und Konten zu Ressourcen in Ihrer VPC zulassen. Eine Ressourcenkonfiguration ist einem Ressourcen-Gateway zugeordnet, über das sie Datenverkehr empfängt.

Inhalt

Arten von Ressourcenkonfigurationen

Es gibt verschiedene Typen von Ressourcenkonfigurationen. Die verschiedenen Typen helfen dabei, verschiedene Arten von Ressourcen darzustellen. Die Typen sind:

  • Konfiguration einer einzelnen Ressource: Eine IP-Adresse oder ein Domainname. Sie kann unabhängig gemeinsam genutzt werden.

  • Konfiguration von Gruppenressourcen: Eine Sammlung von Konfigurationen untergeordneter Ressourcen. Sie kann unabhängig gemeinsam genutzt werden.

  • Konfiguration untergeordneter Ressourcen: Ein Mitglied einer Gruppenressourcenkonfiguration. Es steht für eine IP-Adresse oder einen Domainnamen. Es kann nicht unabhängig geteilt werden; es kann nur als Teil einer Gruppe geteilt werden. Es kann problemlos zu einer Gruppe hinzugefügt und daraus entfernt werden. Wenn es hinzugefügt wird, ist es automatisch für diejenigen zugänglich, die auf die Gruppe zugreifen können.

  • ARN-Ressourcenkonfiguration: Stellt einen unterstützten Ressourcentyp dar, der von einem Dienst bereitgestellt wird. AWS Zum Beispiel eine Amazon RDS-Datenbank. Konfigurationen untergeordneter Ressourcen werden automatisch von verwaltet AWS.

Ressourcen-Gateway

Eine Ressourcenkonfiguration ist einem Ressourcen-Gateway zugeordnet. Ein Ressourcen-Gateway besteht aus einer Reihe von ENIs, die als Eingangspunkt in die VPC dienen, in der sich die Ressource befindet. Diesem Ressourcen-Gateway können mehrere Ressourcenkonfigurationen zugeordnet werden. Wenn Clients in anderen VPCs oder Konten auf eine Ressource in Ihrer VPC zugreifen, sieht die Ressource Datenverkehr, der lokal vom Ressourcen-Gateway in dieser VPC kommt.

Benutzerdefinierte Domainnamen für Ressourcenanbieter

Ressourcenanbieter können einer Ressourcenkonfiguration einen benutzerdefinierten Domainnamen zuordnen, z. B. example.com den Ressourcenverbraucher für den Zugriff auf die Ressourcenkonfiguration verwenden können. Der benutzerdefinierte Domainname kann Eigentum des Ressourcenanbieters sein und von diesem verifiziert werden, oder es kann sich um einen Drittanbieter oder eine AWS Domain handeln. Ressourcenanbieter können Ressourcenkonfigurationen verwenden, um Cache-Cluster und Kafka-Cluster, TLS-based Anwendungen oder andere AWS Ressourcen gemeinsam zu nutzen.

Die folgenden Überlegungen gelten für Anbieter von Ressourcenkonfigurationen:

  • Eine Ressourcenkonfiguration kann nur eine benutzerdefinierte Domäne haben.

  • Der benutzerdefinierte Domainname einer Ressourcenkonfiguration kann nicht geändert werden.

  • Der benutzerdefinierte Domänenname ist für alle Benutzer der Ressourcenkonfiguration sichtbar.

  • Sie können Ihren benutzerdefinierten Domainnamen mithilfe des Domainnamen-Überprüfungsprozesses in VPC Lattice verifizieren. Weitere Informationen Weitere Informationen finden Sie unter. https://docs.aws.amazon.com/vpc-lattice/latest/ug/create-and-verify.html

  • Für Ressourcenkonfigurationen vom Typ Gruppe und Kind müssen Sie zunächst eine Gruppendomäne in der Gruppenressourcenkonfiguration angeben. Danach können die Konfigurationen der untergeordneten Ressourcen benutzerdefinierte Domänen haben, die Unterdomänen der Gruppendomäne sind. Wenn die Gruppe keine Gruppendomäne hat, können Sie einen beliebigen benutzerdefinierten Domänennamen für das Kind verwenden, aber VPC Lattice stellt keine gehosteten Zonen für die untergeordneten Domänennamen in der VPC des Ressourcennutzers bereit.

Benutzerdefinierte Domainnamen für Ressourcennutzer

Wenn Ressourcenverbraucher Konnektivität zu einer Ressourcenkonfiguration mit einem benutzerdefinierten Domänennamen aktivieren, können sie VPC Lattice erlauben, eine private gehostete Route 53-Zone in ihrer VPC zu verwalten. Ressourcennutzer haben detaillierte Optionen für die Domänen, für die sie VPC Lattice erlauben möchten, private gehostete Zonen zu verwalten.

Ressourcenverbraucher können den private-dns-enabled Parameter festlegen, wenn sie die Konnektivität zu Ressourcenkonfigurationen über einen Ressourcenendpunkt, einen Servicenetzwerkendpunkt oder eine Servicenetzwerk-VPC-Zuordnung aktivieren. Zusammen mit dem private-dns-enabled Parameter können Verbraucher mithilfe von DNS-Optionen angeben, für welche Domänen VPC Lattice private gehostete Zonen verwalten soll. Verbraucher können zwischen den folgenden privaten DNS-Einstellungen wählen:

ALL_DOMAINS

VPC Lattice stellt private Hosting-Zonen für alle benutzerdefinierten Domainnamen bereit.

VERIFIED_DOMAINS_ONLY

VPC Lattice stellt nur dann eine private gehostete Zone bereit, wenn der benutzerdefinierte Domainname vom Anbieter verifiziert wurde.

VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS

VPC Lattice stellt private Hosting-Zonen für alle verifizierten benutzerdefinierten Domainnamen und andere vom Ressourcennutzer angegebene Domainnamen bereit. Der Ressourcenverbraucher gibt die Domänennamen im Parameter anprivate DNS specified domains.

SPECIFIED_DOMAINS_ONLY

VPC Lattice stellt eine private gehostete Zone für vom Ressourcennutzer angegebene Domainnamen bereit. Der Ressourcenverbraucher gibt die Domänennamen im Parameter anprivate DNS specified domains .

Wenn Sie privates DNS aktivieren, erstellt VPC Lattice eine private gehostete Zone in Ihrer VPC für den benutzerdefinierten Domainnamen, der der Ressourcenkonfiguration zugeordnet ist. Standardmäßig ist die private DNS-Präferenz auf eingestellt. VERIFIED_DOMAINS_ONLY Das bedeutet, dass private Hosting-Zonen nur erstellt werden, wenn der benutzerdefinierte Domainname vom Ressourcenanbieter verifiziert wurde. Wenn Sie Ihre private DNS-Präferenz auf ALL_DOMAINS oder SPECIFIED_DOMAINS_ONLY setzen, erstellt VPC Lattice unabhängig vom Bestätigungsstatus des benutzerdefinierten Domainnamens private gehostete Zonen. Wenn eine private gehostete Zone für eine bestimmte Domain erstellt wird, wird der gesamte Datenverkehr von Ihrer VPC zu dieser Domain über VPC Lattice geleitet. Wir empfehlen, die SPECIFIED_DOMAINS_ONLY EinstellungenALL_DOMAINS, oder nur zu verwendenVERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS, wenn Sie möchten, dass der Datenverkehr zu diesen benutzerdefinierten Domainnamen über VPC Lattice geleitet wird.

Wir empfehlen, dass Ressourcennutzer ihre private DNS-Präferenz auf setzen. VERIFIED_DOMAINS_ONLY Auf diese Weise können Verbraucher ihren Sicherheitsbereich verschärfen, indem sie VPC Lattice nur erlauben, private gehostete Zonen für verifizierte Domänen im Konto des Ressourcennutzers bereitzustellen.

Um Domänen in den vom privaten DNS angegebenen Domänen auszuwählen, können Ressourcennutzer einen vollqualifizierten Domänennamen eingeben, z. B. my.example.com oder einen Platzhalter wie verwenden. *.example.com

Die folgenden Überlegungen gelten für Nutzer von Ressourcenkonfigurationen:

  • Der private DNS-Enabled-Parameter kann nicht geändert werden.

  • Privates DNS sollte in einer Dienstnetzwerkressourcenzuordnung aktiviert sein, damit private Hosts in einer VPC erstellt werden können. Bei einer Ressourcenkonfiguration überschreibt der private DNS-aktivierte Status der Dienstnetzwerkressourcenzuordnung den privaten DNS-aktivierten Status entweder des Dienstnetzwerkendpunkts oder der Dienstnetz-VPC-Zuordnung.

Bei Ressourcenkonfigurationen, bei denen es sich um Domainnamenziele handelt, wird kein Eintrag für eine private gehostete Zone erstellt, wenn Folgendes zutrifft:

  • Das Ressourcen-Gateway befindet sich in derselben VPC wie die VPC-Netzwerk-VPC-Zuordnung des endpoint/service Servicenetzwerks.

  • Die DNS-Auflösung ist auf dem Ressourcen-Gateway auf IN_VPC eingestellt.

  • Der benutzerdefinierte Domänenname oder die Gruppendomäne ist dieselbe oder eine Domäne auf höherer Ebene wie das Domainnamenziel.

Benutzerdefinierte Domainnamen für Besitzer von Servicenetzwerken

Die private DNS-aktivierte Eigenschaft der Dienstnetzwerkressourcenzuordnung überschreibt die private DNS-aktivierte Eigenschaft des Dienstnetzwerkendpunkts und der Dienstnetz-VPC-Zuordnung.

Wenn ein Dienstnetzwerkbesitzer eine Dienstnetzwerkressourcenzuordnung erstellt und privates DNS nicht aktiviert, stellt VPC Lattice keine privaten gehosteten Zonen für diese Ressourcenkonfiguration in allen VPCs bereit, mit denen das Dienstnetzwerk verbunden ist, obwohl privates DNS auf dem Dienstnetzwerkendpunkt oder den VPC-Zuordnungen des Servicenetzwerks aktiviert ist.

Für Ressourcenkonfigurationen vom Typ ARN ist das private DNS-Flag wahr und unveränderlich.

Definition der Ressource

Identifizieren Sie die Ressource in der Ressourcenkonfiguration auf eine der folgenden Arten:

  • Durch einen Amazon-Ressourcennamen (ARN): Unterstützte Ressourcentypen, die von AWS Services bereitgestellt werden, können anhand ihres ARN identifiziert werden. Es werden nur Amazon RDS-Datenbanken unterstützt. Sie können keine Ressourcenkonfiguration für einen öffentlich zugänglichen Cluster erstellen.

  • Nach einem Domainnamen-Ziel: Sie können einen beliebigen Domainnamen verwenden. Wenn Sie einen privaten DNS-Server verwenden oder sich Ihre Domain in einer privaten, gehosteten Route53-Zone befindet, muss für das Ressourcen-Gateway die DNS-Auflösung auf IN_VPC gesetzt sein. Wenn Ihr Domainname auf eine IP verweist, die sich außerhalb Ihrer VPC befindet, müssen Sie in Ihrer VPC über ein NAT-Gateway verfügen.

  • Von an IP-address: Geben Sie für IPv4 eine private IP aus den folgenden Bereichen an: 10.0.0. 0/8, 100.64.0. 0/10, 172,16,0. 0/12, 192,168,0. 0/16. Geben Sie für IPv6 eine IP von der VPC an. Öffentliche IPs werden nicht unterstützt.

Protocol (Protokoll)

Wenn Sie eine Ressourcenkonfiguration erstellen, können Sie die Protokolle definieren, die die Ressource unterstützt. Derzeit wird nur das TCP-Protokoll unterstützt.

Portbereiche

Wenn Sie eine Ressourcenkonfiguration erstellen, können Sie die Ports definieren, an denen Anfragen akzeptiert werden. Der Client-Zugriff auf andere Ports ist nicht erlaubt.

Auf -Ressourcen zugreifen

Verbraucher können über einen VPC-Endpunkt oder über ein Servicenetzwerk direkt von ihrer VPC aus auf Ressourcenkonfigurationen zugreifen. Als Verbraucher können Sie von Ihrer VPC aus den Zugriff auf eine Ressourcenkonfiguration aktivieren, die sich in Ihrem Konto befindet oder die von einem anderen Konto aus mit Ihnen geteilt wurde. AWS RAM

  • Direkter Zugriff auf eine Ressourcenkonfiguration

    Sie können in Ihrer AWS PrivateLink VPC einen VPC-Endpunkt vom Typ Ressource (Ressourcenendpunkt) erstellen, um privat von Ihrer VPC aus auf eine Ressourcenkonfiguration zuzugreifen. Weitere Informationen zum Erstellen eines Ressourcenendpunkts finden Sie unter Zugreifen auf VPC-Ressourcen im AWS PrivateLink Benutzerhandbuch.

  • Zugriff auf eine Ressourcenkonfiguration über ein Servicenetzwerk

    Sie können einem Servicenetzwerk eine Ressourcenkonfiguration zuordnen und Ihre VPC mit dem Servicenetzwerk verbinden. Sie können Ihre VPC entweder über eine Zuordnung oder über einen VPC-Endpunkt des Servicenetzwerks mit dem AWS PrivateLink Servicenetzwerk verbinden.

    Weitere Informationen zu Dienstnetzwerkzuordnungen finden Sie unter Verwalten der Zuordnungen für ein VPC-Lattice-Dienstnetzwerk.

    Weitere Informationen zu VPC-Endpunkten im Servicenetzwerk finden Sie im AWS PrivateLink Benutzerhandbuch unter Zugreifen auf Dienstnetzwerke.

Wenn privates DNS für Ihre VPC aktiviert ist, können Sie keinen Ressourcenendpunkt und keinen Servicenetzwerkendpunkt für dieselbe Ressourcenkonfiguration erstellen.

Zuordnung zum Servicenetzwerktyp

Wenn Sie eine Ressourcenkonfiguration mit einem Verbraucherkonto teilen, z. B. über Account-B AWS RAM, Account-B können Sie entweder direkt über einen Ressourcen-VPC-Endpunkt oder über ein Servicenetzwerk auf die Ressourcenkonfiguration zugreifen.

Um über ein Servicenetzwerk auf eine Ressourcenkonfiguration zuzugreifen, Account-B müsste die Ressourcenkonfiguration einem Servicenetzwerk zugeordnet werden. Servicenetzwerke können von mehreren Konten gemeinsam genutzt werden. Sie Account-B können also ihr Servicenetzwerk (mit dem die Ressourcenkonfiguration verknüpft ist) gemeinsam nutzen Account-C, sodass auf Ihre Ressource zugegriffen Account-C werden kann.

Um eine solche transitive gemeinsame Nutzung zu verhindern, können Sie festlegen, dass Ihre Ressourcenkonfiguration nicht zu Servicenetzwerken hinzugefügt werden kann, die von Konten gemeinsam genutzt werden können. Wenn Sie dies angeben, können Sie Ihre Ressourcenkonfiguration Account-B nicht zu Servicenetzwerken hinzufügen, die gemeinsam genutzt werden oder in future mit einem anderen Konto geteilt werden können.

Arten von Servicenetzwerken

Wenn Sie eine Ressourcenkonfiguration mit einem anderen Konto teilen, z. B. über Account-B AWS RAM, Account-B können Sie auf eine von drei Arten auf die Ressource zugreifen:

  • Verwendung eines VPC-Endpunkts vom Typ Ressource (Ressourcen-VPC-Endpunkt).

  • Verwendung eines VPC-Endpunkts vom Typ Dienstnetzwerk (Servicenetzwerk-VPC-Endpunkt).

  • Verwenden einer VPC-Zuordnung für ein Servicenetzwerk.

    Wenn Sie eine Dienstnetzwerkverbindung verwenden, wird jeder Ressource eine IP pro Subnetz aus 129.224.0 zugewiesen. 0/17 Block, der Eigentum ist und nicht routbar ist. AWS Dies ist eine Ergänzung zu der verwalteten Präfixliste, die VPC Lattice verwendet, um Datenverkehr über das VPC Lattice-Netzwerk an Dienste weiterzuleiten. Beide IPs werden in Ihrer VPC-Routentabelle aktualisiert.

Für die Zuordnung des VPC-Endpunkts des Servicenetzwerks und der VPC-Zuordnung des Servicenetzwerks müsste die Ressourcenkonfiguration in ein Servicenetzwerk eingegeben werden. Account-B Servicenetzwerke können von mehreren Konten gemeinsam genutzt werden. Sie Account-B können also ihr Servicenetzwerk (das die Ressourcenkonfiguration enthält) gemeinsam nutzen Account-C, sodass Ihre Ressource von dort aus Account-C zugänglich ist. Um eine solche transitive gemeinsame Nutzung zu verhindern, können Sie verhindern, dass Ihre Ressourcenkonfiguration zu Servicenetzwerken hinzugefügt wird, die von Konten gemeinsam genutzt werden können. Wenn Sie dies verbieten, können Sie Ihre Ressourcenkonfiguration Account-B nicht zu einem Servicenetzwerk hinzufügen, das gemeinsam genutzt wird oder mit einem anderen Konto geteilt werden kann.

Gemeinsame Nutzung von Ressourcenkonfigurationen über AWS RAM

Ressourcenkonfigurationen sind integriert in AWS Resource Access Manager. Sie können Ihre Ressourcenkonfiguration über mit einem anderen Konto teilen AWS RAM. Wenn Sie eine Ressourcenkonfiguration mit einem AWS Konto teilen, können Kunden in diesem Konto privat auf die Ressource zugreifen. Sie können eine Ressourcenkonfiguration mithilfe eines Resource Share-In gemeinsam nutzen AWS RAM.

Verwenden Sie die AWS RAM Konsole, um die Ressourcenfreigaben anzuzeigen, zu denen Sie hinzugefügt wurden, die gemeinsam genutzten Ressourcen, auf die Sie zugreifen können, und die AWS Konten, die Ressourcen mit Ihnen gemeinsam genutzt haben. Weitere Informationen finden Sie im AWS RAM Benutzerhandbuch unter Mit Ihnen geteilte Ressourcen.

Um von einer anderen VPC aus auf eine Ressource zuzugreifen, die sich in demselben Konto wie die Ressourcenkonfiguration befindet, müssen Sie die Ressourcenkonfiguration nicht gemeinsam nutzen. AWS RAM

Überwachen

Sie können Überwachungsprotokolle in Ihrer Ressourcenkonfiguration aktivieren. Sie können ein Ziel auswählen, an das die Protokolle gesendet werden sollen.