Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Accédez aux réseaux de services via AWS PrivateLink
Vous pouvez vous connecter en privé à un réseau de service depuis votre VPC à l'aide d'un point de terminaison VPC du réseau de services (point de terminaison du réseau de services). Un point de terminaison de réseau de services vous permet d'accéder de manière privée et sécurisée aux ressources et aux services associés au réseau de services. De cette façon, vous pouvez accéder de manière privée à plusieurs ressources et services via un seul point de terminaison VPC.
Un réseau de services est un ensemble logique de configurations de ressources et de services VPC Lattice. À l'aide d'un point de terminaison de réseau de services, vous pouvez connecter un réseau de services à votre VPC et accéder à ces ressources et services de manière privée depuis votre VPC ou sur site. Un point de terminaison de réseau de services vous permet de vous connecter à un réseau de service. Pour vous connecter à plusieurs réseaux de services depuis votre VPC, vous pouvez créer plusieurs points de terminaison de réseau de services, chacun pointant vers un réseau de service différent.
Les réseaux de service sont intégrés à AWS Resource Access Manager (AWS RAM). Vous pouvez partager votre réseau de service avec un autre compte via AWS RAM. Lorsque vous partagez un réseau de service avec un autre AWS compte, ce compte peut créer un point de terminaison de réseau de services pour se connecter au réseau de services. Vous pouvez partager un réseau de service à l'aide d'un [partage de ressources](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html) AWS RAM.
Utilisez la AWS RAM console pour afficher les partages de ressources auxquels vous avez été ajouté, les réseaux de services partagés auxquels vous pouvez accéder et les AWS comptes qui ont partagé les ressources avec vous. Pour plus d'informations, consultez la section [Ressources partagées avec vous](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html) dans le *Guide de AWS RAM l'utilisateur*.
**Tarification**
Les configurations de ressources associées à votre réseau de services vous sont facturées à l'heure. Vous êtes également facturé par Go de données traitées lorsque vous accédez aux ressources via le point de terminaison VPC du réseau de services. Le point de terminaison VPC du réseau de services lui-même ne vous est pas facturé à l'heure. Pour en savoir plus, consultez [Pricing Amazon VPC Lattice](https://aws.amazon.com/vpc/lattice/pricing/) (Tarification).
**Topics**
+ [Présentation de](#sn-network-overview)
+ [Noms d'hôte DNS](#sn-endpoint-dns)
+ [Résolution DNS](#sn-endpoint-dns-resolution)
+ [DNS privé](#sn-endpoint-private-dns)
+ [Sous-réseaux et zones de disponibilité](#sn-endpoint-subnets-zones)
+ [Types d'adresses IP](#sn-endpoint-ip-address-type)
+ [Création d'un point de terminaison de réseau de services](access-with-service-network-endpoint.md)
+ [Gestion des points de terminaison du réseau de services](manage-sn-endpoint.md)
## Présentation de
Vous pouvez soit créer votre propre réseau de service, soit partager un réseau de service avec vous à partir d'un autre compte. Dans tous les cas, vous pouvez créer un point de terminaison de réseau de services pour vous y connecter depuis votre VPC. Pour plus d'informations sur la création d'un réseau de services et l'association de configurations de ressources à celui-ci, consultez le guide de l'[utilisateur Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/).
Le schéma suivant montre comment un point de terminaison de réseau de services de votre VPC accède à un réseau de services.
Les connexions réseau ne peuvent être initiées que depuis le VPC qui possède le point de terminaison du réseau de services vers les ressources et les services du réseau de services. Le VPC doté des ressources et des services ne peut pas établir de connexions réseau avec le VPC du point de terminaison.
## Noms d'hôte DNS
Avec AWS PrivateLink, vous envoyez du trafic vers des réseaux de service à l'aide de points de terminaison privés. Lorsque vous créez un point de terminaison VPC de réseau de services, nous créons des noms DNS régionaux (appelés nom DNS par défaut) pour chaque ressource et service que vous pouvez utiliser pour communiquer avec la ressource et le service depuis votre VPC et depuis votre site. Les adresses IP associées au point de terminaison peuvent changer. Nous vous recommandons d'utiliser le DNS plutôt que les adresses IP des terminaux pour vous connecter à vos réseaux de service.
Le nom DNS par défaut d'une ressource du réseau de service possède la syntaxe suivante :
```
{{endpointId}}-{{snraId}}.{{rcfgId}}.{{randomHash}}.vpc-lattice-rsc.{{region}}.on.aws
```
Le nom DNS par défaut d'un service Lattice dans le réseau de services possède la syntaxe suivante :
```
{{endpointId}}-{{snsaId}}.{{randomHash}}.vpc-lattice-svcs.{{region}}.on.aws
```
Si vous utilisez le AWS Management Console, vous pouvez trouver le nom DNS sous l'onglet **Associations**. Si vous utilisez le AWS CLI, utilisez la commande [describe-vpc-endpoint-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-associations.html).
Vous ne pouvez activer le [DNS privé](privatelink-access-aws-services.md#interface-endpoint-private-dns) que lorsque votre réseau de service dispose d'une configuration de ARN-type ressources pour un service de base de données Amazon RDS. Avec le DNS privé, vous pouvez continuer à envoyer des demandes à la ressource en utilisant le nom DNS fourni pour la ressource par le AWS service, tout en tirant parti de la connectivité privée via le point de terminaison VPC du réseau de services. Pour de plus amples informations, veuillez consulter [Résolution DNS](privatelink-access-resources.md#resource-endpoint-dns-resolution).
## Résolution DNS
Lorsque vous créez un point de terminaison de réseau de services, nous créons des noms DNS pour chaque configuration de ressources et chaque service Lattice associé au réseau de services. Ces enregistrements DNS sont publics. Par conséquent, ces noms DNS peuvent être résolus publiquement. Cependant, les requêtes DNS provenant de l'extérieur du VPC renvoient toujours les adresses IP privées des interfaces réseau du point de terminaison du réseau de service. Vous pouvez utiliser ces noms DNS pour accéder aux ressources et aux services sur site, à condition d'avoir accès au VPC dans lequel se trouve le point de terminaison du réseau de services, via VPN ou Direct Connect.
## DNS privé
Si vous activez le DNS privé pour le point de terminaison VPC de votre réseau de services et que les [noms d'hôte DNS et la résolution DNS sont activés sur votre VPC, nous créons des zones hébergées privées masquées et](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) AWS gérées pour les configurations de ressources dotées de noms DNS personnalisés. La zone hébergée contient un ensemble d'enregistrements pour le nom DNS par défaut de la ressource qui le résout en adresses IP privées des interfaces réseau du point de terminaison du réseau de services dans votre VPC.
Amazon fournit un serveur DNS pour votre VPC, appelé [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html). Route 53 Resolver résout automatiquement les noms de domaine VPC locaux et enregistre dans des zones hébergées privées. Toutefois, vous ne pouvez pas utiliser Route 53 Resolver en dehors de votre VPC. Si vous souhaitez accéder à votre point de terminaison VPC depuis votre réseau local, vous pouvez utiliser les noms DNS par défaut ou les points de terminaison Route 53 Resolver et les règles du résolveur. Pour plus d'informations, consultez la section [Intégration AWS Transit Gateway avec AWS PrivateLink et Amazon Route 53 Resolver](https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-aws-transit-gateway-with-aws-privatelink-and-amazon-route-53-resolver/).
## Sous-réseaux et zones de disponibilité
Vous pouvez configurer le point de terminaison de votre réseau de services avec un sous-réseau par zone de disponibilité. Nous créons une interface réseau élastique pour le point de terminaison VPC dans chaque sous-réseau que vous spécifiez. Nous attribuons des adresses IP à chaque interface elastic network à partir de son sous-réseau comme suit :
+ **Services VPC Lattice (couche 7)** — Nous attribuons un bloc /28 (16 adresses IPv4 contiguës) par zone de disponibilité pour tous les services VPC Lattice associés au réseau de services. Ce bloc /28 est alloué lors de la création du point de terminaison du réseau de services, même s'il n'y a aucun service actuellement sur le réseau de services. Le bloc /28 doit être composé de 16 adresses IPv4 contiguës inoccupées et il ne peut pas chevaucher les cinq adresses AWS réservées (quatre premières et dernières adresses IP). Assurez-vous qu'un espace d'adressage contigu libre suffisant est disponible. Pour IPv6, nous attribuons également un bloc /80 par zone de disponibilité pour les services VPC Lattice.
+ **Ressources du réseau VPC (couche 4/TCP)** : nous attribuons une adresse IPv4 par configuration de ressources par zone de disponibilité. L'espace d'adressage contigu n'est pas requis pour les ressources VPC Lattice. Nous allouons jusqu'à 63 adresses IP par interface elastic network. Lorsque des configurations de ressources supplémentaires dépassent cette limite, nous créons une autre interface Elastic Network dans le même sous-réseau. Pour IPv6, nous attribuons un bloc /80 à la première interface réseau élastique créée pour les ressources ; aucune interface réseau élastique supplémentaire n'est créée lors de l'utilisation d'IPv6. Lorsque vous supprimez une configuration de ressource du réseau de service, nous libérons l'adresse IP associée. Lorsque toutes les adresses IPv4 d'une Elastic Network Interface sont publiées, nous supprimons l'Elastic Network Interface.
Dans un environnement de production, pour une disponibilité et une résilience élevées, nous vous recommandons de configurer au moins deux zones de disponibilité pour chaque point de terminaison du réseau de services et de vous assurer que chaque sous-réseau dispose d'un nombre suffisant d'adresses IPv4 disponibles.
## Types d'adresses IP
Service-network les points de terminaison peuvent prendre en charge les adresses IPv4, IPv6 ou à double pile. Les points de terminaison qui prennent en charge IPv6 peuvent répondre aux requêtes DNS avec des enregistrements AAAA. Le type d'adresse IP d'un point de terminaison de réseau de services doit être compatible avec les sous-réseaux du point de terminaison de ressource, comme décrit ici :
+ **IPv4** – Attribuez des adresses IPv4 aux interfaces réseau de vos points de terminaison. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d'adresses IPv4.
+ **IPv6** – Attribuez des adresses IPv6 aux interfaces réseau de vos points de terminaison. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés sont des sous-réseaux IPv6 uniquement.
+ **Dualstack** – Attribuez à la fois des adresses IPv4 et IPv6 aux interfaces réseau de vos points de terminaison. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d'adresses IPv4 et IPv6.
Si un point de terminaison VPC d'un réseau de services prend en charge l'IPv4, les interfaces réseau du point de terminaison possèdent des adresses IPv4. Si un point de terminaison VPC d'un réseau de services prend en charge le protocole IPv6, les interfaces réseau du point de terminaison possèdent des adresses IPv6. L'adresse IPv6 d'une interface réseau de point de terminaison est inaccessible depuis Internet. Si vous décrivez une interface réseau de point de terminaison avec une adresse IPv6, remarquez que `denyAllIgwTraffic` est activé.