Accédez aux ressources VPC via AWS PrivateLink - Amazon Virtual Private Cloud
PrésentationNoms d'hôte DNSRésolution DNSDNS privéSous-réseaux et zones de disponibilitéTypes d'adresses IP

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accédez aux ressources VPC via AWS PrivateLink

Vous pouvez accéder en privé à une ressource VPC dans un autre VPC à l'aide d'un point de terminaison VPC de ressource (point de terminaison de ressource). Un point de terminaison de ressources vous permet d'accéder de manière privée et sécurisée à des ressources VPC telles qu'une base de données, une EC2 instance Amazon, un point de terminaison d'application, une cible de nom de domaine ou une adresse IP qui peut se trouver dans un sous-réseau privé d'un autre VPC ou dans un environnement sur site. Sans points de terminaison de ressources, vous devez soit ajouter une passerelle Internet à votre VPC, soit accéder à la ressource à l'aide d'un point de terminaison AWS PrivateLink d'interface et d'un Network Load Balancer. Les points de terminaison des ressources ne nécessitent pas d'équilibreur de charge, vous pouvez donc accéder directement à la ressource VPC. Une ressource VPC est représentée par une configuration de ressources. Une configuration de ressources est associée à une passerelle de ressources.

Tarification

Lorsque vous accédez à des ressources à l'aide de points de terminaison de ressources, vous êtes facturé pour chaque heure pendant laquelle votre point de terminaison VPC de ressources est provisionné. Vous êtes également facturé par Go de données traitées lorsque vous accédez aux ressources. Pour en savoir plus, consultez Pricing AWS PrivateLink (Tarification). Lorsque vous autorisez l'accès à vos ressources à l'aide de configurations de ressources et de passerelles de ressources, vous êtes facturé par Go de données traitées par vos passerelles de ressources. Pour en savoir plus, consultez Pricing Amazon VPC Lattice (Tarification).

Table des matières

Présentation

Vous pouvez accéder aux ressources de votre compte ou à celles qui ont été partagées avec vous depuis un autre compte. Pour accéder à une ressource, vous créez un point de terminaison VPC de ressource, qui établit des connexions entre les sous-réseaux de votre VPC et la ressource à l'aide d'interfaces réseau. Le trafic destiné à la ressource est résolu vers les adresses IP privées des interfaces réseau du point de terminaison de la ressource à l'aide du DNS. Ensuite, le trafic est envoyé à la ressource à l'aide de la connexion entre le point de terminaison VPC et la ressource via la passerelle de ressources.

L'image suivante montre un point de terminaison de ressource d'un compte client accédant à une ressource détenue par un autre compte et partagée via AWS RAM :

Un point de terminaison de ressource d'un VPC client accède à une ressource d'un autre VPC.

Considérations

  • Le trafic TCP est pris en charge. Le trafic UDP n'est pas pris en charge.

  • Les connexions réseau doivent être initiées depuis le VPC qui contient le point de terminaison de la ressource, et non depuis le VPC qui possède la ressource. Le VPC de la ressource ne peut pas établir de connexions réseau avec le VPC du point de terminaison.

  • Les seules ressources basées sur l'ARN prises en charge sont les ressources Amazon RDS.

  • Au moins une zone de disponibilité du point de terminaison VPC et de la passerelle de ressources doit se chevaucher.

Noms d'hôte DNS

Avec AWS PrivateLink, vous envoyez du trafic vers des ressources à l'aide de points de terminaison privés. Lorsque vous créez un point de terminaison VPC de ressource, nous créons des noms DNS régionaux (appelés nom DNS par défaut) que vous pouvez utiliser pour communiquer avec la ressource depuis votre VPC et sur site. Le nom DNS par défaut de votre point de terminaison VPC de ressource possède la syntaxe suivante :

endpoint_id.rcfgId.randomHash.vpc-lattice-rsc.region.on.aws

Lorsque vous créez un point de terminaison VPC de ressources pour certaines configurations de ressources que vous utilisez ARNs, vous pouvez activer le DNS privé. Avec le DNS privé, vous pouvez continuer à envoyer des demandes à la ressource en utilisant le nom DNS fourni pour la ressource par le AWS service, tout en tirant parti de la connectivité privée via le point de terminaison VPC de la ressource. Pour de plus amples informations, veuillez consulter Résolution DNS.

La describe-vpc-endpoint-associationscommande suivante affiche les entrées DNS d'un point de terminaison de ressource.

aws ec2 describe-vpc-endpoint-associations --vpc-endpoint-id vpce-123456789abcdefgh --query 'VpcEndpointAssociations[*].*'

Voici un exemple de sortie pour un point de terminaison de ressource pour une base de données Amazon RDS avec des noms DNS privés activés. Le premier nom DNS est le nom DNS par défaut. Le deuxième nom DNS provient de la zone hébergée privée cachée, qui résout les demandes adressées au point de terminaison public vers les adresses IP privées des interfaces réseau du point de terminaison.

[
    [
        "vpce-rsc-asc-abcd1234abcd",
        "vpce-123456789abcdefgh",
        "Accessible",
        {
            "DnsName": "vpce-1234567890abcdefg-snra-1234567890abcdefg.rcfg-abcdefgh123456789.4232ccc.vpc-lattice-rsc.us-east-1.on.aws",
            "HostedZoneId": "ABCDEFGH123456789000"
        },
        {
            "DnsName": "database-5-test.cluster-ro-example.us-east-1.rds.amazonaws.com",
            "HostedZoneId": "A1B2CD3E4F5G6H8I91234"
        },
        "arn:aws:vpc-lattice:us-east-1:111122223333:resourceconfiguration/rcfg-1234567890abcdefg",
        "arn:aws:vpc-lattice:us-east-1:111122223333:resourceconfiguration/rcfg-1234567890xyz"
    ]
]

Résolution DNS

Les enregistrements DNS que nous créons pour le point de terminaison VPC de votre ressource sont publics. Par conséquent, ces noms DNS peuvent être résolus publiquement. Cependant, les requêtes DNS provenant de l'extérieur du VPC renvoient toujours les adresses IP privées des interfaces réseau du point de terminaison de la ressource. Vous pouvez utiliser ces noms DNS pour accéder à la ressource sur site, à condition d'avoir accès au VPC dans lequel se trouve le point de terminaison de la ressource, via VPN ou Direct Connect.

DNS privé

Si vous activez le DNS privé pour le point de terminaison de votre VPC de ressources pour certaines configurations de ressources que vous utilisez ARNs, et que les noms d'hôte DNS et la résolution DNS sont activés sur votre VPC, nous créons des zones hébergées privées masquées et AWS gérées pour les configurations de ressources avec un nom DNS personnalisé. La zone hébergée contient un ensemble d'enregistrements pour le nom DNS par défaut de la ressource qui le résout en adresses IP privées des interfaces réseau du point de terminaison de la ressource dans votre VPC.

Amazon fournit un serveur DNS pour votre VPC, appelé Route 53 Resolver. Route 53 Resolver résout automatiquement les noms de domaine VPC locaux et enregistre dans des zones hébergées privées. Toutefois, vous ne pouvez pas utiliser Route 53 Resolver en dehors de votre VPC. Si vous souhaitez accéder à votre point de terminaison VPC depuis votre réseau local, vous pouvez utiliser le nom DNS personnalisé ou vous pouvez utiliser les points de terminaison Route 53 Resolver et les règles du résolveur. Pour plus d'informations, consultez la section Intégration AWS Transit Gateway avec AWS PrivateLink et Amazon Route 53 Resolver.

Sous-réseaux et zones de disponibilité

Vous pouvez configurer votre point de terminaison d'un VPC avec un sous-réseau par zone de disponibilité. Nous créons une interface réseau pour le point de terminaison d'un VPC dans votre sous-réseau. Nous attribuons des adresses IP à chaque interface réseau de point de terminaison à partir de son sous-réseau, en fonction du type d'adresse IP du point de terminaison d'un VPC. Dans un environnement de production, pour une disponibilité et une résilience élevées, nous recommandons de configurer au moins deux zones de disponibilité pour chaque point de terminaison VPC.

Types d'adresses IP

Les points de terminaison des ressources peuvent prendre en charge IPv4 des IPv6 adresses ou des adresses à double pile. Les points de terminaison compatibles IPv6 peuvent répondre aux requêtes DNS avec des enregistrements AAAA. Le type d'adresse IP d'un point de terminaison de ressource doit être compatible avec les sous-réseaux du point de terminaison de ressource, comme décrit ici :

  • IPv4— Attribuez IPv4 des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d' IPv4 adresses.

  • IPv6— Attribuez IPv6 des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés IPv6 ne sont que des sous-réseaux.

  • Dualstack — Attribuez à la fois des IPv6 adresses IPv4 et des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent à la fois des plages d' IPv6 adresses IPv4 et des plages d'adresses.

Si un point de terminaison VPC de ressource est pris en charge IPv4, les interfaces réseau du point de terminaison ont IPv4 des adresses. Si un point de terminaison VPC de ressource est pris en charge IPv6, les interfaces réseau du point de terminaison ont IPv6 des adresses. L' IPv6 adresse d'une interface réseau de point de terminaison est inaccessible depuis Internet. Si vous décrivez une interface réseau de point de terminaison avec une IPv6 adresse, notez qu'elle denyAllIgwTraffic est activée.