Acceder a las redes de servicios a través de AWS PrivateLink - Amazon Virtual Private Cloud
Descripción generalNombre de host DNSResolución de los DNSDNS privadoSubredes y zonas de disponibilidadTipos de direcciones IP

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceder a las redes de servicios a través de AWS PrivateLink

Puede conectarse de forma privada a una red de servicio desde su VPC mediante un punto de conexión de VPC de la red de servicio (punto de conexión de la red de servicio). Un punto de conexión de la red de servicios permite acceder de forma privada y segura a los recursos y servicios asociados a la red de servicios. De esta forma, se puede acceder de forma privada a varios recursos y servicios a través de un único punto de conexión de VPC.

Una red de servicios es una recopilación lógica de configuraciones de recursos y servicios de VPC Lattice. Con un punto de conexión de red de servicio, se puede conectar una red de servicio a su VPC y acceder a esos recursos y servicios de forma privada desde su VPC o en las instalaciones. El punto de conexión de red de servicios permite la conexión a una red de servicios. Para conectarse a varias redes de servicio desde su VPC, se pueden crear varios puntos de conexión de red de servicio, donde cada uno apunte a una red de servicio diferente.

Las redes de servicio están integradas con AWS Resource Access Manager (AWS RAM). Puede compartir su red de servicios con otra cuenta a través de AWS RAM. Cuando compartes una red de servicio con otra AWS cuenta, esa cuenta puede crear un punto final de la red de servicio para conectarse a la red de servicio. Puede compartir una red de servicios mediante un recurso compartido en AWS RAM.

Utilice la AWS RAM consola para ver los recursos compartidos a los que se le ha agregado, las redes de servicios compartidos a las que puede acceder y las AWS cuentas que han compartido los recursos con usted. Para obtener más información, consulte Recursos compartidos con usted en la Guía del usuario de AWS RAM .

Precios

La facturación de las configuraciones de recursos asociadas a su red de servicios se le facturarán por hora. También se le factura por GB de datos procesados cuando se accede a los recursos a través del punto de conexión de VPC de red de servicios. No se le facturará por hora el propio punto de conexión de VPC de la red de servicio. Para obtener más información, consulte Precios de Amazon VPC Lattice.

Contenido

Descripción general

Puede crear su propia red de servicios o le pueden compartir una red de servicios con usted desde otra cuenta. De cualquier forma, puede crear un punto de conexión de red de servicios para conectarse con él desde su VPC. Para obtener más información sobre cómo crear una red de servicios y asociarle configuraciones de recursos, consulte la Guía del usuario de Amazon VPC Lattice.

En el siguiente diagrama, se muestra cómo un punto de conexión de la red de servicios de su VPC accede a una red de servicios.

Un punto de conexión de una red de servicios se conecta a una red de servicios.

Las conexiones de red solo se pueden iniciar desde la VPC que tiene el punto de conexión de la red de servicio hacia los recursos y servicios de la red de servicio. La VPC con los recursos y los servicios no puede iniciar conexiones de red en la VPC del punto de conexión.

Nombre de host DNS

Con AWS PrivateLink, envía el tráfico a las redes de servicio mediante puntos finales privados. Cuando se crea un punto de conexión de VPC de red de servicios, se crean nombres de DNS regionales (denominados nombre de DNS predeterminado) para cada recurso y servicio que se pueden utilizar para comunicarse con el recurso y el servicio desde la VPC y en las instalaciones. Pueden cambiar las direcciones IP asociadas a un punto de conexión. Le recomendamos que utilice DNS en lugar de un punto final IPs para conectarse a sus redes de servicio.

El nombre de DNS predeterminado de un recurso de la red de servicios tiene la siguiente sintaxis:

endpointId-snraId.rcfgId.randomHash.vpc-lattice-rsc.region.on.aws

El nombre de DNS predeterminado de un servicio Lattice de la red de servicios tiene la siguiente sintaxis:

endpointId-snsaId.randomHash.vpc-lattice-svcs.region.on.aws

Si utilizas el Consola de administración de AWS, puedes encontrar el nombre DNS en la pestaña Asociaciones. Si estás usando el AWS CLI, usa el describe-vpc-endpoint-associationscomando.

Solo se puede habilitar el DNS privado cuando la red de servicios tiene una configuración de recursos de tipo ARN para un servicio de base de datos de Amazon RDS. Con el DNS privado, puede seguir realizando solicitudes al recurso mediante el nombre de DNS proporcionado para el recurso por el AWS servicio y, al mismo tiempo, aprovechar la conectividad privada a través del punto final de VPC de la red de servicio. Para obtener más información, consulte Resolución de los DNS.

Resolución de los DNS

Al crear un punto de conexión de la red de servicios, creamos nombres de DNS para cada configuración de recursos y servicios de Lattice que esté asociado a la red de servicios. Estos registros de DNS son públicos. Por lo tanto, estos nombres de DNS se pueden resolver de forma pública. Sin embargo, las solicitudes de DNS desde fuera de la VPC siguen devolviendo las direcciones IP privadas de las interfaces de red del punto de conexión de la red de servicios. Se pueden usar estos nombres de DNS para acceder al recurso y los servicios en las instalaciones, siempre que se tenga acceso a la VPC en la que se encuentra el punto de conexión de la red del servicio, a través de VPN o Direct Connect.

DNS privado

Si habilita el DNS privado para el punto final de la VPC de la red de servicios y su VPC tiene habilitados tanto los nombres de host DNS como la resolución de DNS, creamos zonas AWS alojadas privadas ocultas y administradas para las configuraciones de recursos que tienen nombres de DNS personalizados. La zona alojada contiene un registro configurado para el nombre de DNS predeterminado para el recurso que lo resuelve en las direcciones IP privadas de las interfaces de red del punto de conexión de la red de servicios en la VPC.

Amazon proporciona un servidor DNS para la VPC, denominado Route 53 Resolver. Route 53 Resolver resuelve automáticamente los nombres de dominio y registros de VPC locales de zonas alojadas privadas. No obstante, no se puede utilizar Route 53 Resolver desde fuera de la VPC. Si desea acceder al punto de conexión de VPC desde la red en las instalaciones, puede utilizar los nombres de DNS predeterminados o utilizar los puntos de conexión de Route 53 Resolver y las reglas de Resolver. Para obtener más información, consulte Integración con y. AWS Transit GatewayAWS PrivateLinkAmazon Route 53 Resolver

Subredes y zonas de disponibilidad

Puede configurar su punto de conexión de VPC con una subred por cada zona de disponibilidad. Creamos una interfaz de red elástica para el punto de conexión de VPC en la subred. Asignamos direcciones IP a cada interfaz de red elástica desde su subred en múltiplos de /28, si el tipo de dirección IP del punto final de la VPC es. IPv4 La cantidad de direcciones IP asignadas en cada subred depende de la cantidad de configuraciones de recursos y agregamos bloques adicionales IPs en /28 según sea necesario. En un entorno de producción, para obtener una alta disponibilidad y resiliencia, recomendamos configurar al menos dos zonas de disponibilidad para cada punto final de VPC y tener IPs disponibles contiguas.

Tipos de direcciones IP

Los puntos finales de la red de servicios pueden admitir direcciones de doble pila o apilarlas. IPv4 IPv6 Los puntos finales compatibles IPv6 pueden responder a las consultas de DNS con registros AAAA. El tipo de dirección IP de un punto de conexión de red de servicios debe ser compatible con las subredes del punto de conexión de recursos, como se describe a continuación:

  • IPv4— Asigne IPv4 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de IPv4 direcciones.

  • IPv6— Asigne IPv6 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas son IPv6 solo subredes.

  • Dualstack: IPv4 asigne ambas IPv6 direcciones a las interfaces de red de sus puntos finales. Esta opción solo se admite si todas las subredes seleccionadas tienen ambos IPv4 rangos de direcciones. IPv6

Si un punto final de VPC de una red de servicio es compatible IPv4, las interfaces de red del punto final tienen direcciones. IPv4 Si un punto final de VPC de una red de servicio es compatible IPv6, las interfaces de red del punto final tienen direcciones. IPv6 No se IPv6 puede acceder a la dirección de una interfaz de red de puntos finales desde Internet. Si describe una interfaz de red de punto final con una IPv6 dirección, observe que denyAllIgwTraffic está habilitada.