Comparta sus servicios a través de AWS PrivateLink

Descripción general de Nombre de host DNS DNS privado Subredes y zonas de disponibilidad Cross-Region acceso Tipos de direcciones IP

Puede alojar su propio servicio AWS PrivateLink avanzado, conocido como servicio de punto final, y compartirlo con otros AWS clientes.

Contenido

Descripción general de

El siguiente diagrama muestra cómo compartes el servicio que está hospedado AWS con otros AWS clientes y cómo esos clientes se conectan a tu servicio. Como el proveedor del servicio, usted crea un equilibrador de carga de red en su VPC como el servicio frontend. Luego, selecciona este equilibrador de carga cuando crea la configuración del servicio de punto de conexión de VPC. Concede permisos a entidades principales específicas de AWS para que puedan conectarse al servicio. Como consumidor del servicio, el consumidor crea un punto de conexión de VPC de interfaz, que establece conexiones entre las subredes que selecciona de la VPC y el servicio de punto de conexión. El equilibrador de carga recibe solicitudes del consumidor del servicio y las dirige a los destinos que alojan el servicio.

Los consumidores de servicios se conectan a servicios de punto de conexión alojados por proveedores de servicios.

Para conseguir baja latencia y alta disponibilidad, se recomienda que el servicio esté disponible en al menos dos zonas de disponibilidad.

Nombre de host DNS

Cuando un proveedor de servicios crea un servicio de punto final de VPC, AWS genera un nombre de host DNS específico del punto final para el servicio. Estos nombres tienen la siguiente sintaxis:


endpoint_service_id.region.vpce.amazonaws.com

A continuación, se muestra un ejemplo de nombre de host de DNS para un servicio de punto de conexión de VPC en la región us-east-2:


vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com

Cuando un consumidor de servicios crea un punto de conexión de VPC de interfaz, creamos nombres de DNS regionales y de zona que el consumidor del servicio puede utilizar para comunicarse con el servicio de punto de conexión. Los nombres regionales tienen la siguiente sintaxis:


endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com

Los nombres de zona tienen la siguiente sintaxis:


endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com

DNS privado

El proveedor de un servicio también puede asociar un nombre de DNS privado a su servicio de punto de conexión, de modo que los consumidores del servicio puedan seguir accediendo al servicio con el nombre de DNS existente. Si un proveedor de servicios asocia un nombre DNS privado a su servicio de punto de conexión, los consumidores del servicio pueden habilitar nombres DNS privados para sus puntos de conexión de interfaz. Si un proveedor de servicios no habilita el DNS privado, es posible que los consumidores del servicio tengan que actualizar sus aplicaciones para utilizar el nombre DNS público del servicio de punto de conexión de VPC. Para obtener más información, consulte Administración de nombres de DNS.

Subredes y zonas de disponibilidad

Su servicio de punto de conexión está disponible en las zonas de disponibilidad que se habilitan para el equilibrador de carga de red. Para obtener una alta disponibilidad y resiliencia, le recomendamos que habilite el equilibrador de carga en al menos dos zonas de disponibilidad, implemente instancias de EC2 en cada zona habilitada y registre estas instancias en el grupo objetivo del equilibrador de carga.

Puede habilitar el equilibrio de carga entre zonas como alternativa al alojamiento del servicio de punto de conexión en varias zonas de disponibilidad. Sin embargo, los consumidores perderán el acceso al servicio de puntos de conexión desde ambas zonas si la zona que aloja el servicio de puntos de conexión falla. También tenga en cuenta que cuando se habilita el equilibrio de carga entre zonas para un equilibrador de carga de red, se aplican cargos por transferencia de datos de EC2.

El consumidor puede crear puntos de conexión de VPC de interfaz en las zonas de disponibilidad en las que esté disponible su servicio de punto de conexión. Creamos una interfaz de red de punto de conexión en cada subred que el consumidor configura para el punto de conexión de VPC. Asignamos direcciones IP a cada interfaz de red de punto de conexión desde su subred, en función del tipo de dirección IP del punto de conexión de VPC. Cuando una solicitud utiliza el punto de conexión regional del servicio de punto de conexión de VPC, seleccionamos una interfaz de red de punto de conexión en buen estado, y se emplea el algoritmo round robin para alternar entre las interfaces de red en diferentes zonas de disponibilidad. A continuación, resolvemos el tráfico dirigido a la dirección IP de la interfaz de red de punto de conexión seleccionada.

El consumidor puede usar los puntos de conexión zonales para el punto de conexión de VPC si es mejor para su caso de uso mantener el tráfico en la misma zona de disponibilidad.

Cross-Region acceso

Un proveedor de servicios puede alojar un servicio en una región y ponerlo a disposición en un conjunto de regiones compatibles. Un consumidor de servicios selecciona una región de servicio durante la creación de un punto de conexión.

Permisos

De forma predeterminada, las entidades de IAM no tienen permiso para hacer que un servicio de punto de conexión esté disponible en varias regiones ni acceder a un servicio de punto de conexión en todas las regiones. Para conceder los permisos necesarios para el acceso entre regiones, un administrador de IAM puede crear políticas de IAM que permitan la acción solo con permisos vpce:AllowMultiRegion.
Para controlar las regiones que una entidad de IAM puede especificar como regiones compatibles al crear un servicio de punto de conexión, se debe utilizar la clave de condición ec2:VpceSupportedRegion.
Para controlar las regiones que una entidad de IAM puede especificar como región de servicio al crear un punto de conexión de VPC, se debe utilizar la clave de condición ec2:VpceServiceRegion.

Consideraciones

Un proveedor de servicios debe optar por una región registrada antes de agregarla como región compatible para un servicio de punto de conexión.
Se debe poder acceder al servicio de puntos de conexión desde la región del host. No se puede eliminar la región del host del conjunto de regiones compatibles. Para garantizar la redundancia, puede implementar su servicio de puntos de conexión en varias regiones y habilitar el acceso entre regiones para cada servicio de punto de conexión.
El consumidor del servicio debe optar por una región registrada antes de seleccionarla como la región de servicio para un punto de conexión. Siempre que sea posible, recomendamos que los consumidores de servicios accedan a un servicio mediante la conectividad intrarregional en lugar de la conectividad entre regiones. Intra-Region la conectividad proporciona una latencia más baja y unos costes más bajos.
Si un proveedor de servicios elimina una región del conjunto de regiones compatibles, los consumidores de servicios no podrán seleccionar esa región como región de servicio durante la creación de nuevos puntos de conexión. Tenga en cuenta que esto no afecta el acceso al servicio de puntos de conexión desde los puntos de conexión existentes que utilizan esta región como región de servicio.
Para una alta disponibilidad, los proveedores deben usar al menos dos zonas de disponibilidad. Cross-Region el acceso no requiere que los proveedores y los consumidores utilicen las mismas zonas de disponibilidad.
Cross-Region el acceso no se admite en las siguientes zonas de disponibilidad: use1-az3 usw1-az2apne1-az3,apne2-az2, yapne2-az4.
Con el acceso entre regiones, AWS PrivateLink gestiona la conmutación por error entre las zonas de disponibilidad. No administra la conmutación por error en todas las regiones.
Cross-Region el acceso no es compatible con los balanceadores de carga de red con un valor personalizado configurado para el tiempo de espera de inactividad del TCP.
Cross-Region el acceso no es compatible con la fragmentación UDP.
Cross-Region el acceso solo es compatible con los servicios a través de los cuales compartes AWS PrivateLink.

Tipos de direcciones IP

Los proveedores de servicios pueden poner sus puntos de conexión de servicios a disposición de consumidores de servicios mediante IPv4, IPv6 o tanto IPv4 como IPv6, incluso si los servidores de backend solo admiten IPv4. Si habilita la compatibilidad con dualstack, los consumidores actuales pueden seguir utilizando IPv4 para acceder al servicio y los consumidores nuevos pueden elegir utilizar IPv6 para acceder al servicio.

Si un punto de conexión de VPC de interfaz admite IPv4, las interfaces de red del punto de conexión tienen direcciones IPv4. Si un punto de conexión de VPC de interfaz admite IPv6, las interfaces de red del punto de conexión tienen direcciones IPv6. No se puede acceder a la dirección IPv6 de una interfaz de red de punto de conexión desde Internet. Si describe una interfaz de red de punto de conexión con una dirección IPv6, observe que denyAllIgwTraffic esté habilitado.

Requisitos para habilitar IPv6 para un servicio de punto de conexión

La VPC y las subredes del servicio de punto de conexión deben tener bloques de CIDR IPv6 asociados.
Todos los equilibradores de carga de red del servicio de punto de conexión deben utilizar el tipo de dirección IP dualstack. No es necesario que los destinos admitan tráfico IPv6. Si el servicio procesa direcciones IP de origen del encabezado Proxy Protocol versión 2, debe procesar direcciones IPv6.

Requisitos para habilitar IPv6 para un punto de conexión de interfaz

El servicio de punto de conexión debe admitir solicitudes de IPv6.
El tipo de dirección IP de un punto de conexión de interfaz debe ser compatible con las subredes del punto de conexión de interfaz, como se describe a continuación:
- IPv4: se asignan direcciones IPv4 a las interfaces de red del punto de conexión. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de direcciones IPv4.
- IPv6: se asignan direcciones IPv6 a las interfaces de red del punto de conexión. Esta opción solo se admite si todas las subredes seleccionadas son subredes IPv6.
- Dualstack: se asignan direcciones IPv4 e IPv6 a las interfaces de red del punto de conexión. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de direcciones IPv4 e IPv6.

Tipo de dirección IP de registro DNS para un punto de conexión de interfaz

El tipo de dirección IP de registro DNS que admite un punto de conexión de interfaz determina los registros DNS que se crean. El tipo de dirección IP de registro DNS de un punto de conexión de interfaz debe ser compatible con el tipo de dirección IP del punto de conexión de interfaz, como se describe a continuación:

IPv4: se crean registros A para los nombres de DNS privados, regionales y de zonas. El tipo de dirección IP debe ser IPv4 o Dualstack.
IPv6: se crean registros AAAA para los nombres de DNS privados, regionales y de zonas. El tipo de dirección IP debe ser IPv6 o Dualstack.
Dualstack: se crean registros A y AAAA para los nombres de DNS privados, regionales y de zonas. El tipo de dirección IP debe ser Dualstack.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Creación de un punto de conexión del equilibrador de carga de gateway

Creación de un servicio de punto de conexión