Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS PrivateLinkConceptos de
Puede utilizar Amazon VPC para definir una nube privada virtual (VPC), que es una red virtual aislada lógicamente. Puede permitir que los clientes de su VPC se conecten a destinos fuera de dicha VPC. Por ejemplo, agregue una puerta de enlace de Internet a la VPC para permitir el acceso a Internet o agregue una conexión de VPN para permitir el acceso a su red en las instalaciones. Como alternativa, utilice AWS PrivateLink para permitir que los clientes de su VPC se conecten a servicios y recursos de otras VPC mediante direcciones IP privadas, como si esos servicios y recursos estuvieran alojados directamente en su VPC.
Los siguientes conceptos son importantes y deben comprenderse cuando se comienza a utilizar AWS PrivateLink.
Contenido
Diagrama de arquitectura
El siguiente diagrama brinda información general de alto nivel sobre cómo funciona AWS PrivateLink. Los consumidores crean puntos de conexión de VPC para conectarse a servicios y recursos de punto de conexión alojados por proveedores.
Proveedores
Comprenda los conceptos relacionados con un proveedor.
Proveedor de servicios
El propietario de un servicio es el proveedor del servicio. Los proveedores de servicios incluyen AWS, socios de AWS y otras Cuentas de AWS. Los proveedores de servicios pueden alojar sus servicios mediante recursos de AWS, como instancias de EC2, o mediante servidores en las instalaciones.
Proveedor de recursos
El propietario de un recurso, por ejemplo, una base de datos o una instancia de Amazon EC2, es el proveedor del recurso. Los proveedores de recursos incluyen servicios de AWS, socios de AWS y otras cuentas de AWS. Los proveedores de recursos pueden alojar sus recursos en VPC o en las instalaciones.
Conceptos
Servicios de punto de conexión
Un proveedor de servicio crea un servicio de punto de conexión para que su servicio esté disponible en una región. Un proveedor de servicio debe especificar un equilibrador de carga cuando crea un servicio de punto de conexión. El equilibrador de carga recibe solicitudes de los consumidores del servicio y las dirige al servicio.
De forma predeterminada, el servicio de punto de conexión no está disponible para los consumidores del servicio. Debe agregar permisos que permitan a entidades principales específicas de AWS conectarse al servicio de punto de conexión.
Nombres de servicios
Cada servicio de punto de conexión se identifica con un nombre de servicio. El consumidor del servicio debe especificar el nombre del servicio cuando crea un punto de conexión de VPC. Los consumidores de servicios pueden consultar los nombres de los servicios de Servicios de AWS. Los proveedores de servicios deben compartir los nombres de sus servicios con los consumidores de servicios.
Estados del servicio
A continuación, se muestran los posibles estados de un servicio de punto de conexión:
-
Pendiente: el servicio de punto de conexión se está creando.
-
Disponible: el servicio de punto de conexión está disponible.
-
Con error: el servicio de punto de conexión no se pudo crear.
-
Eliminándose: el proveedor del servicio eliminó el servicio de punto de conexión y la eliminación está en curso.
-
Eliminado: el servicio de punto de conexión se eliminó.
Configuración de recursos
El proveedor de recursos crea una configuración de recursos para compartir un recurso. Una configuración de recursos es un objeto lógico que representa un único recurso, como puede ser una base de datos, o un grupo de recursos. Un recurso puede ser una dirección IP, un destino de nombre de dominio o una base de datos de Amazon Relational Database Service (Amazon RDS).
Al compartir con otras cuentas, el proveedor de recursos debe compartir el recurso a través de un recurso compartido AWS Resource Access Manager (AWS RAM) para permitir que entidades principales de AWS específicas de la otra cuenta se conecten al recurso a través de un punto de conexión de VPC de recursos.
Las configuraciones de recursos se pueden asociar a una red de servicios a la que se conectan las entidades principales a través de un punto de conexión de VPC de la red de servicios.
Puerta de enlace de recursos
Una puerta de enlace de recursos es un punto de entrada a una VPC desde donde se comparte un recurso. El proveedor crea una puerta de enlace de recursos para compartir los recursos de la VPC.
Consumidores de servicios o recursos
El usuario de un servicio o recurso es un consumidor. Los consumidores pueden acceder a los servicios y recursos de los puntos de conexión desde sus VPC o en las instalaciones.
Conceptos
Puntos de conexión de VPC
Un consumidor crea un punto de conexión de VPC para conectar su VPC a un servicio o recurso de punto de conexión. El consumidor debe especificar el servicio, el recurso o la red de servicios de punto de conexión, cuando se crea un punto de conexión de VPC. Hay varios tipos de puntos de conexión de VPC. Debe crear el tipo de punto de conexión de VPC que resulte necesario.
-
Interface: cree un punto de conexión de interfaz para enviar tráfico TCP o UDP a un servicio de punto de conexión. El tráfico destinado al servicio de punto de conexión se resuelve mediante DNS. -
GatewayLoadBalancer: se crea un punto de conexión del equilibrador de carga de la puerta de enlace para enviar tráfico a una flota de dispositivos virtuales mediante direcciones IP privadas. El tráfico se enruta desde su VPC al punto de conexión del equilibrador de carga de la puerta de enlace mediante tablas de enrutamiento. El equilibrador de carga de la puerta de enlace distribuye el tráfico a los dispositivos virtuales y puede escalar en función de la demanda. -
Resource: cree un punto de conexión de recurso para acceder a un recurso que se compartió con usted y que reside en otra VPC. Un punto de conexión de recursos le permite acceder de forma privada y segura a recursos como una base de datos, una instancia de Amazon EC2, un punto de conexión de aplicación, un destino de nombre de dominio o una dirección IP que puede estar en una subred privada de otra VPC o en un entorno en las instalaciones. Los puntos de conexión de recursos no requieren un equilibrador de carga y permiten el acceso directo al recurso. -
Service network: cree un punto de conexión de red de servicios para acceder a una red de servicios que haya creado o que se haya compartido con usted. Puede utilizar un único punto de conexión de la red de servicios para acceder de forma privada y segura a varios recursos y servicios asociados a una red de servicios.
Hay otro tipo de punto de conexión de VPC, Gateway, que crea un punto de conexión de puerta de enlace para enviar tráfico a Amazon S3 o a DynamoDB. Los puntos de conexión de puerta de enlace no utilizan AWS PrivateLink, a diferencia de los otros tipos de puntos de conexión de VPC. Para obtener más información, consulte Puntos de conexión de la puerta de enlace.
Interfaces de red de punto de conexión
Una interfaz de red de punto de conexión es una interfaz de red administrada por el solicitante que sirve como punto de entrada para el tráfico destinado a un servicio, un recurso o una red de servicios de punto de conexión. Para cada subred que especifica cuando crea un punto de conexión de VPC, creamos una interfaz de red de punto de conexión en la subred.
Si un punto de conexión de VPC admite IPv4, sus interfaces de red de punto de conexión tienen direcciones IPv4. Si un punto de conexión de VPC admite IPv6, sus interfaces de red de punto de conexión tienen direcciones IPv6. No se puede acceder a la dirección IPv6 de una interfaz de red de punto de conexión desde Internet. Cuando describa una interfaz de red de punto de conexión con una dirección IPv6, observe que denyAllIgwTraffic esté habilitado.
Políticas de punto de conexión
Una política de punto de conexión de VPC es una política de recursos de IAM que se adjunta a un punto de conexión de VPC. Determina qué entidades principales pueden utilizar el punto de conexión de VPC para acceder al servicio de punto de conexión. La política de punto de conexión de VPC predeterminada permite que todas las entidades principales realicen todas las acciones en todos los recursos del punto de conexión de VPC.
Estados del punto de conexión
Cuando se crea un punto de conexión de VPC de interfaz, el servicio de punto de conexión recibe una solicitud de conexión. El proveedor del servicio puede aceptar o rechazar la solicitud. Si el proveedor del servicio acepta la solicitud, el consumidor del servicio puede utilizar el punto de conexión de VPC una vez que esté en estado Disponible.
A continuación, se muestran los posibles estados de un punto de conexión de VPC:
-
Aceptación pendiente: la solicitud de conexión está pendiente. Este es el estado inicial si las solicitudes se aceptan de forma manual.
-
Pendiente: el proveedor del servicio ha aceptado la solicitud de conexión. Este es el estado inicial si las solicitudes se aceptan de forma automática. El punto de conexión de VPC vuelve a este estado si el consumidor del servicio modifica el punto de conexión de VPC.
-
Disponible: el punto de conexión de VPC está disponible para su uso.
-
Rechazado: el proveedor del servicio rechazó la solicitud de conexión. El proveedor del servicio también puede rechazar una conexión después de que esté disponible para su uso.
-
Caducado: la solicitud de conexión caducó.
-
Con erro: el punto de conexión de VPC no está disponible.
-
Eliminándose: el consumidor del servicio eliminó el punto de conexión de VPC y la eliminación está en curso.
-
Eliminado: el punto de conexión de VPC se ha eliminado.
La API de AWS PrivateLink devuelve los estados posibles mediante camel case.
Conexiones de AWS PrivateLink
El tráfico de la VPC se envía a un servicio de punto de conexión o un recurso mediante una conexión entre el punto de conexión de VPC y el servicio o recurso de punto de conexión. El tráfico entre un punto de conexión de VPC y un servicio o recurso de punto de conexión permanece dentro de la red de AWS sin atravesar la Internet pública.
Un proveedor de servicios agrega permisos para que los consumidores del servicio puedan acceder al servicio de punto de conexión. Los consumidores del servicio inician la conexión y el proveedor de servicios acepta o rechaza la solicitud de conexión. El propietario de un recurso o de una red de servicios comparte una configuración de recursos o una red de servicios con los consumidores mediante AWS Resource Access Manager para que estos puedan acceder a los recursos o a la red de servicios.
Con puntos de conexión de VPC de interfaz, los consumidores pueden utilizar políticas de punto de conexión para controlar qué entidades principales de IAM pueden utilizar un punto de conexión de VPC para tener acceso a un servicio de punto de conexión.
Zonas alojadas privadas
Una zona alojada es un contenedor de registros DNS que define cómo enrutar el tráfico de un dominio o un subdominio. Con una zona alojada pública, los registros especifican cómo enrutar el tráfico en Internet. Con una zona alojada privada, los registros especifican cómo enrutar el tráfico en las VPC.
Puede configurar Amazon Route 53 para dirigir el tráfico del dominio a un punto de conexión de VPC. Para obtener más información, consulte Enrutamiento del tráfico a un punto de conexión de VPC mediante el nombre de dominio.
Puede utilizar Route 53 para configurar el DNS de horizonte dividido, donde puede utilizar el mismo nombre de dominio tanto para un sitio web público como para un servicio de punto de conexión con tecnología AWS PrivateLink. Las solicitudes DNS para el nombre de host público de la VPC del consumidor se resuelven en las direcciones IP privadas de las interfaces de red de punto de conexión, pero las solicitudes desde fuera de la VPC continúan resolviéndose en los puntos de conexión públicos. Para obtener más información, consulte Mecanismos de DNS para dirigir el tráfico y habilitar la conmutación por error para las implementaciones de AWS PrivateLink
