Acceda a los recursos de VPC a través de AWS PrivateLink - Amazon Virtual Private Cloud
Descripción generalNombre de host DNSResolución de los DNSDNS privadoSubredes y zonas de disponibilidadTipos de direcciones IP

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceda a los recursos de VPC a través de AWS PrivateLink

Puede acceder de forma privada a un recurso de VPC en otra VPC mediante un punto de conexión de VPC de recursos (punto de conexión de recursos). Un punto de enlace de recursos le permite acceder de forma privada y segura a los recursos de la VPC, como una base de datos, una EC2 instancia de Amazon, un punto de enlace de una aplicación, un destino de nombre de dominio o una dirección IP que puede estar en una subred privada de otra VPC o en un entorno local. Sin puntos de enlace de recursos, debe agregar una puerta de enlace de Internet a su VPC o acceder al recurso mediante AWS PrivateLink un punto de enlace de interfaz y un Network Load Balancer. Los puntos de conexión de recursos no requieren un equilibrador de carga y permiten el acceso directo al recurso de VPC. Un recurso de VPC se representa mediante una configuración de recursos. Una configuración de recursos está asociada a una puerta de enlace de recursos.

Precios

Cuando accede a los recursos mediante puntos de conexión de recursos, se le facturará por cada hora de aprovisionamiento de punto de conexión de VPC de recursos. También se le factura por GB de datos procesados cuando se accede a los recursos. Para obtener más información, consulte Precios de AWS PrivateLink. Cuando se habilita el acceso a sus recursos mediante configuraciones de recursos y puertas de enlace de recursos, se le facturará por GB de datos procesados por sus puertas de enlace de recursos. Para obtener más información, consulte Precios de Amazon VPC Lattice.

Contenido

Descripción general

Puede acceder a los recursos de su cuenta o a los que le hayan compartido desde otra cuenta. Para acceder a un recurso, debe crear un punto de conexión de VPC de interfaz, que establece conexiones entre las subredes en la VPC y el recurso mediante interfaces de red. El tráfico destinado para el recurso se resuelve en las direcciones IP privadas de las interfaces de red del punto de conexión del recurso mediante DNS. A continuación, el tráfico se envía al recurso mediante la conexión entre el punto de conexión de VPC y el recurso a través de la puerta de enlace de recursos.

La siguiente imagen muestra un punto final de recurso en una cuenta de consumidor que accede a un recurso que es propiedad de otra cuenta y a través del cual se comparte: AWS RAM

Un punto de conexión de recurso en una VPC de consumo accede a un recurso en una VPC diferente.

Consideraciones

  • Se admite el tráfico TCP. No admite tráfico UDP.

  • Las conexiones de red deben iniciarse desde la VPC que contiene el punto de conexión del recurso y no desde la VPC que tiene el recurso. La VPC del recurso no puede iniciar conexiones de red en la VPC del punto de conexión.

  • Los únicos recursos basados en ARN compatibles son los recursos de Amazon RDS.

  • Deben superponerse al menos una zona de disponibilidad del punto de conexión de VPC y la puerta de enlace de recursos

Nombre de host DNS

Con AWS PrivateLink, se envía tráfico a los recursos mediante puntos de enlace privados. Cuando se crea un punto de conexión de VPC de recursos, se crean nombres de DNS regionales (denominados nombre de DNS predeterminado) que se pueden utilizar para comunicarse con el recurso y el servicio desde la VPC y en las instalaciones. Te recomendamos que utilices DNS en lugar de un punto final IPs para conectarte a tus recursos. El nombre de DNS predeterminado para el punto de conexión de VPC de recurso tiene la siguiente sintaxis:

endpoint_id.rcfgId.randomHash.vpc-lattice-rsc.region.on.aws

Al crear un punto final de VPC de recursos para determinadas configuraciones de recursos que se utilizan ARNs, puede habilitar el DNS privado. Con el DNS privado, puedes seguir realizando solicitudes al recurso con el nombre de DNS proporcionado para el recurso por el AWS servicio y, al mismo tiempo, aprovechar la conectividad privada a través del punto final de la VPC del recurso. Para obtener más información, consulte Resolución de los DNS.

El siguiente describe-vpc-endpoint-associationscomando muestra las entradas de DNS de un punto final de recurso.

aws ec2 describe-vpc-endpoint-associations --vpc-endpoint-id vpce-123456789abcdefgh --query 'VpcEndpointAssociations[*].*'

A continuación, se muestra un resultado de ejemplo para un punto de conexión de recursos para la base de datos de Amazon RDS con nombres de DNS privados habilitados. El primer nombre de DNS es el nombre de DNS predeterminado. El segundo nombre de DNS proviene de la zona alojada privada y oculta, que resuelve las solicitudes al punto de conexión público para las direcciones IP privadas de las interfaces de red del punto de conexión.

[
    [
        "vpce-rsc-asc-abcd1234abcd",
        "vpce-123456789abcdefgh",
        "Accessible",
        {
            "DnsName": "vpce-1234567890abcdefg-snra-1234567890abcdefg.rcfg-abcdefgh123456789.4232ccc.vpc-lattice-rsc.us-east-1.on.aws",
            "HostedZoneId": "ABCDEFGH123456789000"
        },
        {
            "DnsName": "database-5-test.cluster-ro-example.us-east-1.rds.amazonaws.com",
            "HostedZoneId": "A1B2CD3E4F5G6H8I91234"
        },
        "arn:aws:vpc-lattice:us-east-1:111122223333:resourceconfiguration/rcfg-1234567890abcdefg",
        "arn:aws:vpc-lattice:us-east-1:111122223333:resourceconfiguration/rcfg-1234567890xyz"
    ]
]

Resolución de los DNS

Los registros DNS que se crean para el punto de conexión de VPC de recursos son públicos. Por lo tanto, estos nombres de DNS se pueden resolver de forma pública. Sin embargo, las solicitudes de DNS desde fuera de la VPC siguen devolviendo las direcciones IP privadas de las interfaces de red del punto de conexión del recurso. Se pueden usar estos nombres de DNS para acceder al recurso en las instalaciones, siempre que se tenga acceso a la VPC en la que se encuentra el punto de conexión de recursos, a través de VPN o Direct Connect.

DNS privado

Si habilita el DNS privado para el punto final de la VPC de recursos para determinadas configuraciones de recursos que utiliza ARNs, y su VPC tiene habilitados tanto los nombres de host DNS como la resolución de DNS, creamos zonas AWS alojadas privadas ocultas y administradas para las configuraciones de recursos con un nombre de DNS personalizado. La zona alojada contiene un registro configurado para el nombre de DNS predeterminado para el recurso que lo resuelve en las direcciones IP privadas de las interfaces de red de punto de conexión en la VPC.

Amazon proporciona un servidor DNS para la VPC, denominado Route 53 Resolver. Route 53 Resolver resuelve automáticamente los nombres de dominio y registros de VPC locales de zonas alojadas privadas. No obstante, no se puede utilizar Route 53 Resolver desde fuera de la VPC. Si desea acceder al punto de conexión de VPC desde la red en las instalaciones, puede utilizar el nombre de DNS personalizado o los puntos de conexión de Route 53 Resolver y reglas de Resolver. Para obtener más información, consulta Integrar con y. AWS Transit GatewayAWS PrivateLinkAmazon Route 53 Resolver

Subredes y zonas de disponibilidad

Puede configurar su punto de conexión de VPC con una subred por cada zona de disponibilidad. Creamos una interfaz de red de punto de conexión para el punto de conexión de VPC en la subred. Asignamos direcciones IP a cada interfaz de red de punto de conexión desde su subred, en función del tipo de dirección IP del punto de conexión de VPC. En un entorno de producción, para una alta disponibilidad y resiliencia, recomendamos configurar al menos dos zonas de disponibilidad para cada punto de conexión de VPC.

Tipos de direcciones IP

Los puntos finales de recursos pueden admitir IPv4 IPv6, o direcciones de doble pila. Los puntos finales compatibles IPv6 pueden responder a las consultas de DNS con registros AAA. El tipo de dirección IP de un punto de conexión de recursos debe ser compatible con las subredes del punto de conexión de interfaz, como se describe a continuación:

  • IPv4— Asigne IPv4 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de IPv4 direcciones.

  • IPv6— Asigne IPv6 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas son IPv6 solo subredes.

  • Dualstack: IPv4 asigne ambas IPv6 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen ambos IPv4 rangos de direcciones. IPv6

Si un punto final de VPC de recursos es compatible IPv4, las interfaces de red del punto final tienen IPv4 direcciones. Si un punto final de VPC de recursos es compatible IPv6, las interfaces de red del punto final tienen IPv6 direcciones. No se puede acceder a la IPv6 dirección de la interfaz de red de un punto final desde Internet. Si describe una interfaz de red de punto final con una IPv6 dirección, observe que denyAllIgwTraffic está habilitada.